Ratgeber

Navi-Apps im Check: Maps.me – nicht empfehlenswert

Ein Artikel von , veröffentlicht am 17.09.2018

Die Navigations-App Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst extrem detaillierte Geräte-Daten und zeigt wenig Interesse, die eigenen Nutzer aufzuklären. Der Anbieter ist auch schon im Zusammenhang mit Mail-Apps negativ aufgefallen.

HINWEISManuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Das ist Maps.me

Maps.me ist eine Navigations-App, die auf dem Kartenmaterial des Gemeinschaftsprojektes OpenStreetMap beruht. Seit 2014 gehört der Dienst zur My.com B.V. (eine B.V. ist das niederländische Pendant zur GmbH) mit Sitz in Amsterdam. Die My.com B.V. ist eine Tochterfirma der russischen mail.ru-Gruppe.

Der Programmcode der Maps.me-App ist quelloffen (Open Source), das heißt, jeder kann ihn sehen und analysieren. Sie zählt rund 50 Millionen Downloads im Play-Store und ist auch für iOS verfügbar.

Der Dienst schaltet nach eigenen Angaben Werbung und ermöglicht Werbepartnerschaften. Gegen Bezahlung können Unternehmen laut Webseite zum Beispiel bestimmte Einträge auf den Karten veranlassen. Informationen zu Hotels werden über eine Partnerschaft mit Booking.com angezeigt.

Die Routenberechnung ist bei Maps.me auch ohne Internetverbindung möglich.

Unser Test im Überblick

Getestet haben wir die App-Version 8.3.6-Google aus dem Play-Store. In unserem Kurztest nahm Maps.me nicht nur Verbindung zum Dienstanbieter, sondern außerdem zu sechs weiteren Unternehmen auf. Bis auf eine Ausnahme erhielten alle diese Unternehmen eindeutige Kennnummern aus unserem Gerät.

Mit deren Hilfe können Informationen aus der App mit anderen Informationen über den Nutzer verknüpft werden. So erfährt Facebook etwa, dass und wann man diese App nutzt und kann dies mit dem eigenen Nutzerprofil bei Facebook verknüpfen.

My.com fragt unter anderem auch den Namen und die MAC-Adresse des WLAN-Routers ab (BSSID und SSID). Mit diesen Informationen könnte der Standort des Nutzers ermittelt werden, obwohl die Standort-Berechtigung nicht gegeben wurde.

Die Betreiber von Maps.me geben in der verlinkten, englischsprachigen Datenschutzerklärung an, dass sie alle gesammelten Informationen aus der App mit anderen Firmen des Konzerns teilen. Zudem werden die Standortdaten verwendet, um passende Werbung anzuzeigen. Opt-out ist nur per Mail an den Anbieter möglich. Die eingebundenen Unternehmen erwähnt der Anbieter nicht.

Schlechtes Ergebnis bei Mail-Apps

Die Anbieter My.com und mail.ru sind unserer Redaktion schon 2017 im Zusammenhang mit ihren hauseigenen Mail-Apps negativ aufgefallen.

Die Apps übertrugen in unserem Test die Zugangsdaten eingebundener E-Mail-Konten an den Hersteller der App. Das ist ein nicht hinnehmbares Datenleck: Mitarbeiter der Mail-App könnten theoretisch die E-Mails der Nutzer lesen. Das Problem wurde bis heute nicht behoben (Stand 11.09.2018).

Während andere Hersteller diesen Fehler nach unserem Hinweis umgehend korrigierten, haben sich die Anbieter von mail.ru und mail.com bis heute nicht dazu geäußert.

Fazit

Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst unnötig viele Geräte-Daten und zeigt nur wenig erkennbares Interesse, die eigenen Nutzer über diese Tatsachen zu informieren. Sie verstößt sehr wahrscheinlich gegen geltendes Datenschutzrecht und gegen Google-Richtlinien zum Umgang mit der Android Werbe-ID.

Fazit: Für Navi-Apps gibt es deutlich bessere Alternativen.

Unser Test im Detail

Hier informieren wir im Detail, zu welchen Servern die App Kontakt aufnimmt und welche Daten sie überträgt.

Folgende Informationen fassen wir unter dem Begriff „Standardinformationen“ zusammen, da sie in fast jeder Verbindung übertragen werden:

  • Android-Version
  • Gerätehersteller und Modell
  • Sprache und Zeitzone
  • Genutzte App und Version (maps.me)
  • Datum und Uhrzeit

My.com [https://tracker-api.my.com/v2/]: Der Diensteanbieter My.com betreibt selbst Nutzertracking. Dabei fragt die App auch SSID und BSSID-Namen des WLAN-Routers ab, falls man über WLAN verbunden ist. Mit diesen Informationen könnte der genaue Standort des Nutzers ermittelt werden. Zudem erfasst der Dienst Android-ID und Werbe-ID gemeinsam. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Alle gesammelten Informationen teilt My.com mit zugehörigen Firmen und dem Mutterkonzern. Folgende Informationen werden übertragen:

Mail.ru [https://apinotify.mail.ru]: Mail.ru ist der Mutterkonzern des Dienstbetreibers. Übertragen werden folgende Informationen:

Facebook: Facebook ist als Analysetool und zum Ausspielen von Werbung eingebunden. Übertragen werden folgende Informationen:

Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:

  •  Android Werbe-ID, Mobilfunkanbieter, Build-Nummer, verbauter Prozessor (CPU), Details zu den verbauten Sensoren (z.B. Hersteller und Kennnummern von Gyroskop, Magnetomenter, Accelometer), Standardinformationen, verschiedene Nutzungsdaten, z.B. Datum der Installation und erster Start, Zeit seit dem letzten Start, etc.

Crashlytics (Google): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern.

  • An den Dienst werden verschiedene Daten verschlüsselt übertragen, deren Inhalt wir nicht näher analysieren können.

Flurry: Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zum Internetkonzern Yahoo. An den Dienst werden unter anderem Android-ID und Werbe-ID gemeinsam übertragen. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Folgende Informationen haben wir in der Datenverbindung entdeckt:

Pushwoosh: Ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA. Während der Nutzung wird übermittelt:

  • Android-ID, Events (z.B. ob Fahrradrouten benutzt wurden). Keine Standardinformationen.

MoPub: Werbedienst, fungiert als „Mediator“, über den Entwickler mit einem einzigen Baustein mehrere Werbenetze einbinden können. MoPub Inc. ist ein Tochterunternehmen von Twitter und hat seinen Geschäftssitz in San Francisco, USA. Übertragen werden:

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Kalender

Zugegeben: In Sachen Komfort kann dem Google-Kalender bisher kein Konkurrent das Wasser reichen. Doch Google liest alle persönlichen Termine von Nutzer*innen mit. Wir haben drei diskrete Kalender-Alternativen für Sie.

Mehr Ratgeber 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Sie haben sich von der Google-Suche verabschiedet, möchten aber auf die Suchleiste auf dem Startbildschirm Ihres Smartphones nicht verzichten? Kein Problem mit Simple Search! In dieses nützliche kleine Werkzeug lässt sich jede Suchmaschine einbauen.

Mehr Ratgeber 

Cloud-Dienst SpiderOak One kurz vorgestellt

Der Cloud-Dienst SpiderOak One wurde zwar 2014 von Whistleblower Edward Snowden gelobt, ist momentan aber nur eingeschränkt zu empfehlen. Der US-amerikanische Anbieter verschlüsselt die Inhalte nur am Computer wirklich sicher.

Mehr YouTube-Video 

Cyberwaffe Pegasus: Sind Tipps fürs Handy jetzt überflüssig?

Mit der Spionage-Software Pegasus ist es möglich, jedes Android-Handy und jedes iPhone zu überwachen und sämtliche Daten auszulesen. Aber wie arbeitet Pegasus eigentlich? Und was bedeutet das für uns? Können wir uns überhaupt noch schützen – oder diesen Kanal genauso gut zumachen?

Ansehen

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz