Ratgeber

Apps gecheckt: Speed-Checker fürs WLAN versenden Standortdaten an Dritte

Ein Artikel von , veröffentlicht am 16.01.2021
Mit Speed-Checker-Apps kann man die Leistung des WLANs prüfen. | Photo by Frederik Lipfert on Unsplash

Per App können Verbraucher*innen prüfen, ob ihr Internetanbieter hält, was er verspricht. Blöd nur, wenn das Messgerät selbst nicht vertrauenswürdig ist. Wir haben 14 beliebte Speed-Checker für Android analysiert und können nur zwei empfehlen.

Der Video-Stream ruckelt, Webseiten bauen sich im Schneckentempo auf, die Software für die Teamarbeit streikt? Wenn Sie finden, dass Ihr Internet zu langsam ist, können Sie überprüfen, ob Ihr Anbieter das liefert, was Sie bezahlen. Mit einem so genannten Speed-Checker lässt sich die Geschwindigkeit des eigenen Netzwerks messen.

Auf dem Smartphone funktionieren Speed-Checker fürs WLAN am besten als App. Viele Firmen und Projekte bieten entsprechende Produkte kostenlos im Google Play-Store an. Trotz sehr guter Nutzer*innenbewertung sind viele davon allerdings nicht empfehlenswert.

In unserer Testreihe haben wir 14 Speed-Checker-Apps für Android unter die Lupe genommen und ihr Datensendeverhalten analysiert. Nur zwei davon schnitten bei Privatsphäre und Sicherheit gut ab.

Gut zu wissen

Speed-Checker auf einen Blick

Wie funktionieren Speed-Checker?

Speed-Checker-Apps verbinden Ihr Smartphone oder Tablet mit einem Mess-Server. Der sendet eine bestimmte Datenmenge auf Ihr Gerät und vom Gerät an den Server. Dabei misst er, wie lange der Transfer dauert und berechnet daraus die Upload- und Download-Rate, zum Beispiel 80 Mbps und 20 Mbps.

Warum fragen Speed-Checker nach der Berechtigung Standort?

Manche Apps begründen das damit, dass nur so der nächstgelegene Mess-Server gefunden werden kann, denn in der Regel haben die Tools mehrere in ihrer Liste. Das ist aber unplausibel: Die geografische Zuordnung anhand der IP-Adresse ist dafür genau genug.

Viele Speed-Checker können nicht nur die Geschwindigkeit des WLANs, sondern auch die des Mobilfunknetzes messen. Mit diesen Messungen können Funklöcher im Mobilfunknetz bestimmt werden. Für diese Funktion ist die Standortabfrage nötig und plausibel.  Wer seinen Standort in solch einer App freigibt, kann helfen, Netzabdeckungskarten zu erstellen. In der Hand der Bundesnetzagentur sind diese Daten besonders wirkungsvoll, denn die Behörde kontrolliert, ob die Anbieter ihrer Versorgungspflicht nachkommen.

Warum senden Speed-Checker-Apps den Standort an Dritte?

In unserem Test haben einige Apps die Standort-Koordinaten des Testgerätes nicht nur erfasst, sondern auch an andere Firmen geschickt.

Akzeptabel ist das, wenn eine App Dienste Dritter einbindet, ohne dabei überflüssige Daten zu teilen. Viele Speed-Checker haben zum Beispiel eine Kartenfuktion, auf der man den Ort der eigenen Messung anzeigen lassen kann. Dabei kommen Kartendienste wie OpenStreetMap zum Einsatz. Seriöse Kartendienste erfassen dabei keinerlei zusätzliche Kennnummern, mit denen sie das Gerät identifizieren können.

Als problematisch bewerten wir, wenn Apps den Standort beispielsweise zusammen mit der Werbe-ID an Werbefirmen versenden. Wie Standortdaten im großen Stil ausgewertet und zur Überwachung genutzt werden können, zeigt eine Recherche des Norwegers Martin Gundersen (zusammengefasst bei netzpolitik.org).

Unsere Testsieger

LibreSpeed

Schlichter Speed-Messer ohne Zusatzfunktionen. Angeboten von dem freien Entwickler Federico Dossena aus Italien. Fragt keine Berechtigungen ab und erfasste im Test keine unnötigen Daten. Kostenlos, werbefrei und quelloffen, erhältlich im F-Droid-Store. Dort gibt’s einen Spenden-Button für den Entwickler. [Zum Test]

Breitbandmessung

Eine App der Bundesnetzagentur mit vielen Zusatzfunktionen. Neigt laut Nutzerkommentaren aber zu plötzlichen Abstürzen - dies kam auch bei unserem Test vor. Fragt den Standort ab, die Messung funktioniert aber auch ohne. Kostenlos und werbefrei, erhältlich im Google Play-Store. [Zum Test]

Testbedingungen

Wir testen Apps unter möglichst realistischen Bedingungen. Voreinstellungen wurden übernommen und Nutzerdialoge entsprechend der Empfehlung beantwortet. Wenn eine App im Test zum Beispiel nach der Berechtigung „Standort“ fragte und dabei angab, dass sie dann besser funktioniere, haben wir im Test zugestimmt. Nur wenn Wahlmöglichkeiten gleichwertig dargestellt waren haben wir App-Abfragen abgelehnt. Getestet wird mit Android Version 8.0

Sechs Apps erfassten die Router-Kennung (BSSID)

Sechs von 14 Apps erfassten die Kennnummer des WLAN-Netzes, mit dem das genutzte Gerät verbunden war, die so genannte BSSID. Jeder WLAN-Router bringt eine solche eindeutige Nummer mit.

Da WLAN-Router relativ selten Ihren Standort verändern, eignen sie sich zur Standortbestimmung. Es gibt Firmen, die Datenbanken mit gesammelten BSSIDs und den zugehörigen Standorten betreiben.

Erstellt werden solche Standortlisten, indem die Netzwerkkennung gemeinsam mit den GPS-Daten erfasst wird – zum Beispiel mit Hilfe von Tools wie Speed-Checker-Apps. Wer sich schon einmal gefragt hat, wie Google den Standort von Android-Geräten erfassen kann, obwohl das GPS ausgeschaltet ist – das ist einer der Tricks dahinter.

Apps, die die BSSID erfassen, ordnen wir grundsätzlich als sehr kritisch ein, weil Anbieter damit den Standort ohne die Abfrage der Standortberechtigung bestimmen und/oder Datenbanken für diesen Zweck aufbauen können.

Weiterhin gehen wir davon aus, dass Nutzer*innen den Zusammenhang von BSSID und Standort in der Regel nicht kennen. Selbst wenn in der Datenschutzerklärung der App steht, dass die BSSID ausgelesen wird, ist also fraglich, ob eine informierte Entscheidung darüber getroffen werden kann.

WiFi Speed Test - Internet Speed von Zoltán Pallagi [Test]

Open Nettest von SPECURE GmbH [Test]

Simple Speedcheck von Internet Speed Test, Etrality [Test]

Speedcheck von Internet Speed Test, Etrality [Test]

SPEEDCHECK Internet Speed Test von Internet Speed Test, Etrality [Test]

Speedtest - DSL Internet Geschwindigkeit Testen von Ookla [Test]

Auf Anfrage von mobilsicher.de erklärte der Entwickler Zoltán Pallagi, dass seine App die BSSID nicht erfasse, wenn man die Berechtigung Standort verweigert. Die App funktioniere dann genauso gut. Die anderen Hersteller reagierten bis zur Veröffentlichung nicht auf unsere Anfrage.

Vier Apps sendeten Standort und WLAN-Kennung an Dritte

Bei vier getesteten Apps wurde die BSSID im laufenden Betrieb an eine dritte Partei übertragen – in drei Fällen an das kanadische Unternehmen Tutela Technologies Ltd. (alle Apps des Anbieters Etrality GmbH, siehe obige Liste), in einem Fall an die irische Firma Speedchecker Ltd. ("WiFi Speed Test – Internet Speed" von Zoltán Pallagi).

Die Apps der Etrality GmbH erfassten zusätzlich den GPS-Standort des Gerätes, wenn dieser während der Einrichtung freigegeben wurde. Den Standort erhielt nicht nur der Anbieter der App, sondern auch das US-amerikanische Werbenetzwerk MoPub (Twitter), sowie das französische Unternehmen Smart, das ebenfalls in der Werbebranche tätig ist.

Die drei Apps der deutschen Etrality GmbH kommen gemeinsam auf mehr als 16 Millionen Downloads im Google Play-Store. Dort werden sie unter den ersten zehn Treffern gelistet und erreichen jeweils sehr gute Nutzer*innenbewertungen.

Auch die App des Anbieters Ookla teilt den Standort einem Drittanbieter mit – dem US-amerikanischen Unternehmen Pixalate Inc., einem Dienstleister für Betrugsschutz.

Vier Apps erfassten eindeutige Handy-Kennungen

Drei ebenfalls millionenfach heruntergeladene Android-Apps des Anbieters V-SPEED.eu sowie die App des Anbieters Ookla erfassten im Test nicht nur den Standort, sondern auch die Kennung IMSI. Das steht für „International Mobile Subscriber Identity“.

Diese Zahlenkombination ist nicht auf dem Gerät gespeichert, sondern gehört zu der eingelegten SIM-Karte. Beim Kontakt zum Mobilfunknetz meldet sich das Smartphone mit dieser Nummer beim Funkmast an. So lässt sich der grobe Standort von Geräten ermitteln. Der Mobilfunkanbieter kann die IMSI-Nummer Personen zuordnen.

Warum der App-Anbieter die IMSI erfasst, ist unklar. Zur Ermittlung des Mobilfunkanbieters wäre dies nicht notwendig.

Eine App erfasste neben der IMSI auch noch die IMEI. Die Abkürzung steht für „International Mobile Station Equipment Identity“. Jedes verkaufte Gerät weltweit besitzt eine solche eindeutige Kennung aus 15 Ziffern.

Sowohl die IMEI als auch die IMSI stufen wir als sensible Daten ein, da sie eindeutig auf ein Gerät schließen lassen und sich oft jahrelang nicht ändern. Erst beim Geräte- oder SIM-Karten-Wechsel ändern sich diese Kennungen.

Der Anbieter V-SPEED.eu erläuterte auf Anfrage von mobilsicher.de, dass die erfassten Daten nicht für Werbezwecke oder Profiling eingesetzt werden, sondern nur, um Abdeckungskarten zu erstellen. Ab Android 10 werde sowohl IMSI als auch IMEI von den Apps der Firma nicht mehr erfasst.

Unsichere Internetverbindungen bei vier Apps

Vier Apps bauten im Test unverschlüsselte Internetverbindungen auf. Eine Transportverschlüsselung mit dem verbreiteten TLS-Protokoll gehört zum absoluten Mindeststandard beim Thema Sicherheit. Angreifer*innen können die übertragenen Daten ansonsten manipulieren.

In der Praxis wird das vor allem für Phishing-Angriffe genutzt: Über die unsichere Verbindung können Angreifer*innen zum Beispiel Nachrichten auf das Gerät schleusen, die zum Herunterladen einer Datei oder zur Angabe von Logindaten auffordert. Da diese Meldung scheinbar von der App selber kommt, wirkt sie vertrauenswürdiger.

Internet Speed Test - Geschwindigkeitstest Wifi von ECO MOBILE VN [Test]

Open Nettest von SPECURE GmbH [Test]

SpeedTest Master Lite - speedtest wlan von Test speed internet & Net meter [Test]

WiFi Master - Free Speedcheck Internet Speed Test von Yuanbo Tech LLC. [Test]

Quelloffene App enthält Facebook-Baustein

Die App der österreichischen Firma SPECURE GmbH hat nach eigenen Angaben den Quellcode der App offengelegt und die App teilweise mit öffentlichen Geldern der EU entwickelt. Umso fragwürdiger ist, dass die App einen Analysedienst von Facebook nutzt, der bei jedem App-Start eine eindeutige Kennnummer (die Werbe-ID) aus der App an Facebook überträgt.

Durch die übermittelte Werbe-ID erfährt das US-Unternehmen, dass Nutzer*innen die App verwenden und wann sie sie öffnen. Diese Informationen können bestehenden Facebook- und Instagram-Konten zugeordnet werden. Warum dies gerade bei Facebook ein Problem darstellt, können Sie in unserem Beitrag Facebooks unsichtbare Datensammlung nachlesen.

Fazit: Privatsphäre kein Kriterium

Obwohl die Auswahl an Speed-Checker-Apps für Android groß ist, gibt es nur wenige empfehlenswerte Produkte. Selbst das Kriterium „Open Source“ ist kein Garant für Datensparsamkeit, wie die App Open Nettest zeigt.

Gerade bei Werkzeug-Apps spielt die Vorschlag-Funktion von Google die entscheidende Rolle dafür, welche Apps häufig installiert werden. Schließlich suchen die meisten Nutzer*innen nicht nach einem bestimmten Hersteller, sondern einfach nach einem gut bewerteten Tool.

Bei den Empfehlungen im Google-Play-Store – das zeigt die Testreihe eindrücklich – ist die Privatsphäre aber kein Kriterium.

Was Sie tun können, wenn Ihr Internet zu langsam ist, erklärt der Kölner Medienrechtsanwalt Christian Solmecke in diesem Video.
Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Firefox Klar, ein iOS-Browser mit Tracking-Schutz

Mit dem Firefox-Browser „Firefox Klar“, international auch als „Firefox Focus“ bekannt, steht seit November 2016 der erste externe Browser mit echtem Tracking-Schutz für iPhones und iPads zur Verfügung. Wir stellen den Browser vor.

Ansehen
YouTube-Video 

WhatsApp: So können gesendete Dateien manipuliert werden

Chats in Ende-zu-Ende-verschlüsselten Messengern können Dritte nicht mitlesen. Allerdings lassen sich Bilder, PDFs und Sprachnachrichten bei WhatsApp abfangen, bevor sie verschlüsselt werden. Die gute Nachricht: Sie können etwas dagegen tun.

Ansehen
Ratgeber 

Neue Regeln beim Banking: Was ändert sich?

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Mehr
Ratgeber 

Apps gecheckt: Vorsicht, diese 7 Mail-Apps lesen Ihre E-Mails mit (Android)

Mail-Apps sollen die E-Mail-Verwaltung auf dem Smartphone erleichtern. Von 20 getesteten Android-Apps können wir jedoch nur drei empfehlen. Sieben lasen den Inhalt von E-Mails aus und übertrugen ihn an ein Unternehmensgeflecht, dessen Spuren nach Russland führen.

Mehr