Ratgeber

Navi-Apps im Check: Maps.me – nicht empfehlenswert

Ein Artikel von , veröffentlicht am 17.09.2018

Die Navigations-App Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst extrem detaillierte Geräte-Daten und zeigt wenig Interesse, die eigenen Nutzer aufzuklären. Der Anbieter ist auch schon im Zusammenhang mit Mail-Apps negativ aufgefallen.

HINWEISManuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Das ist Maps.me

Maps.me ist eine Navigations-App, die auf dem Kartenmaterial des Gemeinschaftsprojektes OpenStreetMap beruht. Seit 2014 gehört der Dienst zur My.com B.V. (eine B.V. ist das niederländische Pendant zur GmbH) mit Sitz in Amsterdam. Die My.com B.V. ist eine Tochterfirma der russischen mail.ru-Gruppe.

Der Programmcode der Maps.me-App ist quelloffen (Open Source), das heißt, jeder kann ihn sehen und analysieren. Sie zählt rund 50 Millionen Downloads im Play-Store und ist auch für iOS verfügbar.

Der Dienst schaltet nach eigenen Angaben Werbung und ermöglicht Werbepartnerschaften. Gegen Bezahlung können Unternehmen laut Webseite zum Beispiel bestimmte Einträge auf den Karten veranlassen. Informationen zu Hotels werden über eine Partnerschaft mit Booking.com angezeigt.

Die Routenberechnung ist bei Maps.me auch ohne Internetverbindung möglich.

Unser Test im Überblick

Getestet haben wir die App-Version 8.3.6-Google aus dem Play-Store. In unserem Kurztest nahm Maps.me nicht nur Verbindung zum Dienstanbieter, sondern außerdem zu sechs weiteren Unternehmen auf. Bis auf eine Ausnahme erhielten alle diese Unternehmen eindeutige Kennnummern aus unserem Gerät.

Mit deren Hilfe können Informationen aus der App mit anderen Informationen über den Nutzer verknüpft werden. So erfährt Facebook etwa, dass und wann man diese App nutzt und kann dies mit dem eigenen Nutzerprofil bei Facebook verknüpfen.

My.com fragt unter anderem auch den Namen und die MAC-Adresse des WLAN-Routers ab (BSSID und SSID). Mit diesen Informationen könnte der Standort des Nutzers ermittelt werden, obwohl die Standort-Berechtigung nicht gegeben wurde.

Die Betreiber von Maps.me geben in der verlinkten, englischsprachigen Datenschutzerklärung an, dass sie alle gesammelten Informationen aus der App mit anderen Firmen des Konzerns teilen. Zudem werden die Standortdaten verwendet, um passende Werbung anzuzeigen. Opt-out ist nur per Mail an den Anbieter möglich. Die eingebundenen Unternehmen erwähnt der Anbieter nicht.

Schlechtes Ergebnis bei Mail-Apps

Die Anbieter My.com und mail.ru sind unserer Redaktion schon 2017 im Zusammenhang mit ihren hauseigenen Mail-Apps negativ aufgefallen.

Die Apps übertrugen in unserem Test die Zugangsdaten eingebundener E-Mail-Konten an den Hersteller der App. Das ist ein nicht hinnehmbares Datenleck: Mitarbeiter der Mail-App könnten theoretisch die E-Mails der Nutzer lesen. Das Problem wurde bis heute nicht behoben (Stand 11.09.2018).

Während andere Hersteller diesen Fehler nach unserem Hinweis umgehend korrigierten, haben sich die Anbieter von mail.ru und mail.com bis heute nicht dazu geäußert.

Fazit

Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst unnötig viele Geräte-Daten und zeigt nur wenig erkennbares Interesse, die eigenen Nutzer über diese Tatsachen zu informieren. Sie verstößt sehr wahrscheinlich gegen geltendes Datenschutzrecht und gegen Google-Richtlinien zum Umgang mit der Android Werbe-ID.

Fazit: Für Navi-Apps gibt es deutlich bessere Alternativen.

Unser Test im Detail

Hier informieren wir im Detail, zu welchen Servern die App Kontakt aufnimmt und welche Daten sie überträgt.

Folgende Informationen fassen wir unter dem Begriff „Standardinformationen“ zusammen, da sie in fast jeder Verbindung übertragen werden:

  • Android-Version
  • Gerätehersteller und Modell
  • Sprache und Zeitzone
  • Genutzte App und Version (maps.me)
  • Datum und Uhrzeit

My.com [https://tracker-api.my.com/v2/]: Der Diensteanbieter My.com betreibt selbst Nutzertracking. Dabei fragt die App auch SSID und BSSID-Namen des WLAN-Routers ab, falls man über WLAN verbunden ist. Mit diesen Informationen könnte der genaue Standort des Nutzers ermittelt werden. Zudem erfasst der Dienst Android-ID und Werbe-ID gemeinsam. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Alle gesammelten Informationen teilt My.com mit zugehörigen Firmen und dem Mutterkonzern. Folgende Informationen werden übertragen:

Mail.ru [https://apinotify.mail.ru]: Mail.ru ist der Mutterkonzern des Dienstbetreibers. Übertragen werden folgende Informationen:

Facebook: Facebook ist als Analysetool und zum Ausspielen von Werbung eingebunden. Übertragen werden folgende Informationen:

Appsflyer: Analysedienst, der vor allem identifiziert, von welchem Link aus Nutzer zur Installation einer App gekommen sind. Geschäftssitz ist Herzliya, Israel. An den Dienst werden folgende Informationen übertragen:

  •  Android Werbe-ID, Mobilfunkanbieter, Build-Nummer, verbauter Prozessor (CPU), Details zu den verbauten Sensoren (z.B. Hersteller und Kennnummern von Gyroskop, Magnetomenter, Accelometer), Standardinformationen, verschiedene Nutzungsdaten, z.B. Datum der Installation und erster Start, Zeit seit dem letzten Start, etc.

Crashlytics (Google): Dienstleister, der Apps auf Fehler und Abstürze analysiert, aber auch Nutzungsanalysen durchführt. Gehört zum Google-Konzern.

  • An den Dienst werden verschiedene Daten verschlüsselt übertragen, deren Inhalt wir nicht näher analysieren können.

Flurry: Dienstleister, der Nutzerverhalten analysiert und das Marketing unterstützt. Gehört zum Internetkonzern Yahoo. An den Dienst werden unter anderem Android-ID und Werbe-ID gemeinsam übertragen. Laut Googles eigener Richtlinie zum Umgang mit der Werbe-ID ist das verboten. Folgende Informationen haben wir in der Datenverbindung entdeckt:

Pushwoosh: Ein Dienst, der In-App-Messaging und Push-Nachrichten anbietet. Unternehmenssitz ist Delaware, USA. Während der Nutzung wird übermittelt:

  • Android-ID, Events (z.B. ob Fahrradrouten benutzt wurden). Keine Standardinformationen.

MoPub: Werbedienst, fungiert als „Mediator“, über den Entwickler mit einem einzigen Baustein mehrere Werbenetze einbinden können. MoPub Inc. ist ein Tochterunternehmen von Twitter und hat seinen Geschäftssitz in San Francisco, USA. Übertragen werden:

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Tastatur-Apps: Was sie über Sie erfahren und welche App wir empfehlen

Die Tastatur Ihres Smartphones kann Ihnen Vorschläge für ganze Satzbausteine machen - und weiß dann gut darüber Bescheid, was Sie schreiben. Im Video erklären wir, welche Gefahren dadurch entstehen und welche alternative Tastatur-App wir empfehlen.

Ansehen Ratgeber 

Ecosia: Suchen und Bäume pflanzen

Die Suchmaschine Ecosia wird in Berlin entwickelt und setzt auf Umweltschutz. Wer sie nutzt, unterstützt das Pflanzen von Bäumen. In Sachen Datenschutz könnte das Unternehmen aber noch mehr für die Nutzer*innen tun. Die Ecosia-Apps können wir momentan nicht empfehlen.

Mehr Ratgeber 

Apps des Monats – die Besten im März

Eine App zum Ausmisten von Social Media-Profilen, sichere Cloud-Dienste fürs Home Office und datenschutzfreundliche Alternativen zu Googles Standard-Apps – hier sind unsere zehn spannendsten Apps aus dem März 2020.

Mehr Ratgeber 

Apps gecheckt: Die Lügen der Systemreiniger (Android)

So genannte Cleaner-Apps für Android versprechen, das Smartphone auszumisten und damit schneller zu machen. In Wirklichkeit sind sie oft eine Plage oder richten sogar Schaden an. Wir haben 18 Apps geprüft und können nur zwei empfehlen.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz