Betriebssystemunabhängige Identifier
Viele Identifier sind vom Betriebssystem unabhängig und beziehen sich direkt auf die verwendete Hardware, also das konkrete Smartphone oder Tablet. Diese sind überwiegend so angelegt, dass Nutzer nicht selbst Änderungen vornehmen können, etvwa um ihre Identität zu verschleiern. Allerdings können einige Identifier modifiziert werden, wenn Nutzer ihr Gerät „rooten“ und damit erweiterte Rechte erhalten, sogenannte Root-Rechte.
Device-ID (auch Device Serial oder Hardware Serial)
Wie bei den meisten Geräten üblich, gibt es auch bei Android-Smartphones und -Tablets eine Seriennummer – die Device-ID. Sie dient bei der Kommunikation mit einem via USB verbundenen Computer zur Identifizierung des Android-Gerätes. Diese Nummer ist in der Regel so gespeichert, dass sie selbst das Zurücksetzen auf Werkseinstellungen übersteht. Apps können ohne weiteres darauf zugreifen, da sie von keiner Berechtigung geschützt ist.
Anwender können die gespeicherte Device-ID nur mit Root-Rechten ändern. Man kann sie aber anzeigen lassen. Meistens ist sie in den Geräte-Einstellungen unter „Über dieses Telefon → Status → Serial“ zu finden. Sie wird vom Hersteller der System-Software vergeben, die auch das Betriebssystem enthält.
Ab Android 8 benötigen Apps die Berechtigung "„Telefonstatus und Identität abrufen“", um auf die Device-ID zuzugreifen.
MAC-Adresse
Mit ihr werden die Netzwerk-Adapter identifiziert. Die Netzwerk-Adapter sind die Bauteile im Mobilgerät, die die WLAN- und Bluetooth-Verbindung herstellen. Es gibt also je Gerät eine MAC-Adresse für Bluetooth und eine für den WLAN-Adapter.
Die MAC-Adressen sind weltweit eindeutig – und lassen somit einen eindeutigen Rückschluss auf das Gerät zu. Sie sind fest im Gerät gespeichert und vom Nutzer nicht änderbar. Mit Root-Rechten ist es aber möglich, eine andere MAC-Adresse vorzugaukeln, wenn zum Beispiel Apps versuchen, die MAC-Adressen auszulesen.
Apps mit der Berechtigung „Netzwerkverbindungen abrufen", „Bluetooth“, "Standort (grob und genau)" sowie "Zugriff auf alle Netzwerke" können auf die MAC-Adressen zugreifen. Ab Android 6.0 wird sie normalen Apps bei den ersten drei Berechtigungen vorenthalten – sie bekommen auf Anfrage nur einen Standard-Eintrag (02:00:00:00:00:00) zu sehen. Mit der Berechtigung "Zugriff auf alle Netzwerke" lässt sich die WLAN-MAC-Adresse aber weiterhin ermitteln.
IMEI (für „International Mobile Station Equipment Identity“)
Sie identifiziert jedes Mobilfunk-Gerät weltweit eindeutig und ist normalerweise fest in der Hardware des Gerätes gespeichert. Die IMEI wird beim Kontakt zum Mobilfunknetz an den Netzbetreiber übertragen. Einige Netzbetreiber sperren Geräte anhand der IMEI, wenn diese als gestohlen gemeldet werden (in Deutschland derzeit nur Vodafone).
Es ist in Deutschland an sich nicht illegal, sie zu ändern, könnte aber gegen Nutzungsbedingungen verstoßen. Geschieht es, um eine Straftat zu verschleiern, ist es strafbar. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.
IMSI (für „International Mobile Subscriber Identity“)
Die IMSI (übersetzt „Internationale Mobilfunk-Teilnehmerkennung“) ist auf der SIM-Karte hinterlegt. Beim Kontakt zum Mobilfunknetz identifiziert sie das Telefon, beziehungsweise die SIM-Karte gegenüber dem Mobilfunkmast. Die IMSI zu ändern, kann den Kontakt zum Mobilfunknetz stören. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.
Telefonnummer
Sie ist weltweit eindeutig und kann nicht beliebig geändert werden. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.
IP-Adresse
Die IP-Adresse identifiziert ein Gerät im Internet (zum Beispiel einen Router mit Verbindung zum Internet). IP steht dabei für „Internet Protocol“. Die IP-Adresse ändert sich in der Regel häufig. Anhand der IP-Adresse lässt sich auf den groben Aufenthaltsort (Länderebene und größere Städte) schließen. Der Internetanbieter kann die IP-Nummern in der Regel einer realen Adresse und einem Anschlussinhaber zuordnen.
Betriebssystemspezifische Identifier unter Android
Android-ID (Auch "Android Device ID" oder "SSAID" für Settings.Secure)
Die Android-ID wird bei der ersten Inbetriebnahme vom Betriebssystem erstellt. Im Gegensatz zur „GSF Android-ID“ (siehe unten) ist sie auf jedem Android-Gerät vorhanden und identifiziert den jeweiligen Nutzer. Bei Geräten, die mehrere Nutzer verwalten können, gibt es für jedes Nutzer-Konto eine Android-ID.
Sie wird im lokalen Dateisystem gespeichert. Nutzer ohne Root-Rechte können sie weder ändern noch anzeigen lassen. Jede App kann aber ohne weitere Berechtigungen darauf zugreifen. Man kann sie sich daher mit Hilfe einer App anzeigen lassen. Durch Zurücksetzen auf Werkseinstellungen wird sie gelöscht. Beim nächsten Start wird dann eine neue SSAID erstellt.
Sie ist meist 16 Ziffern lang und besteht aus Zahlen und Buchstaben von A-F.
Ab Android 8 (Oreo) gibt es eine eigene Android-ID für jede App/Nutzer/Gerät-Kombination. Damit eignet sich die Android-ID nicht mehr zum Tracken von Nutzern über mehrere Apps hinweg.
GSF Android-ID
Die GSF Android-ID wird vom Google Services Framework (GSF), einem Hintergrundprogramm für Googles eigene Apps, verwaltet. Handelsübliche Android-Geräte, auf denen Google-Apps vorinstalliert sind, nutzen das GSF.
Die GSF Android-ID wird erstellt, wenn man das Gerät das erste Mal bei einem Google-Konto anmeldet. Sie wird auf dem Gerät gespeichert und kann durch Zurücksetzen auf Werkseinstellungen gelöscht werden.
Geschützt wird sie von der Berechtigung „Google Service-Konfiguration lesen“ – welche von zahlreichen Apps angefordert wird.
Sie ist meist 16 Ziffern lang und besteht aus Zahlen und Buchstaben von A-F.
Google Werbe ID (auch GAAID für Google Advertising ID)
Die Werbe-ID ist eine eindeutige ID für Werbezwecke, die von den Google-Play-Diensten bereitgestellt wird. Sie kann vom Anwender unter „Google Einstellungen → Werbung“ (Ab Android 6.0 über Google-Konto) zurückgesetzt werden. Für den Zugriff benötigen Apps lediglich die Berechtigung „Zugriff auf alle Netzwerke“ – welche fast alle Apps anfordern.
Eingerichtete Konten
Eine Liste der eingerichteten Konten können Apps mit der Berechtigung „Konten auf dem Gerät suchen“ abrufen (dies trifft auf etwa 20 Prozent aller Android-Apps zu).
Apps mit dieser Berechtigung können auch die E-Mail-Adresse auslesen, mit der man sein Google-Konto angelegt hat. Google empfiehlt App-Entwicklern, diese E-Mail-Adresse zu nutzen, um Ihre Nutzer zu identifizieren, da sie über Geräte hinweg funktioniert und das Zurücksetzen auf Werkseinstellungen meist überlebt.
Ab Android 8 genügt diese Berechtigung allein nicht mehr aus. Zusätzlich muss entweder der Nutzer explizit erlauben, dass eine App ein bestimmtes Konto sehen darf, oder die App hat über eine Schnittstelle direkten Zugriff auf das Konto einer anderen App, zum Beispiel, wenn beide Apps vom selben Hersteller kommen.
Installierte Apps
Jede installierte App kann "sehen", welche Programme noch auf einem Gerät vorhanden sind. Dafür ist keine besondere Berechtigung nötig. Der Nutzer kann diese Aktivität also nicht unterbinden.
Da die Zusammenstellung von Apps durchaus persönliche Vorlieben widerspiegelt, können Nutzer auch hierüber identifiziert werden, besonders im Zusammenspiel mit weiteren Daten. Auch kann die Verwendung bestimmter Apps beispielsweise Rückschlüsse auf Vorlieben oder den Gesundheitszustand des Nutzers zulassen. Wer ganz sicher gehen will, dass solche Informationen privat bleiben, sollte entsprechende Apps also nicht installieren.
Um zu sehen, welche App gerade läuft, ist die Berechtigung „Laufende Anwendungen abrufen“ nötig. Banking-Trojaner nutzen diese Möglichkeit, um zu sehen, ob der Nutzer gerade seine Banking-App öffnet, um dann ein gefälschtes App-Fenster darüber zu legen.
Build-Nummer
Die Build-Nummer ist eine sechs- bis zehnstellige Folge aus Buchstaben und Zahlen, welche das Android-Betriebssystem genau spezifiziert. Denn auch innerhalb einer Version, zum Beispiel Android 6.1, gibt es unterschiedliche Varianten. Die Build-Nummer ist sehr viel granularer als nur die Android-Versionsnummer und eignet sich in Kombination mit anderen Hardware-Kennungen gut, um einen "Fingerabdruck" des Gerätes zu erhalten.
Man kann sie sich anzeigen lassen unter "Einstellungen > Über dieses Telefon". Sie ist für alle Apps frei zugänglich und wird häufig abgefragt. Sie ändert sich allerdings auch mit jedem Update.
Herstellerspezifische IDs
Je nach Hersteller gibt es weitere eindeutige Bezeichner für ein Mobilgerät. Große Hersteller wie Motorola oder Samsung vergeben eine ID für jedes Gerät. Darüber werden dann beispielsweise Fehlerberichte zugeordnet, die vom Gerät an den Hersteller verschickt werden.
Mehr zum Thema bei mobilsicher.de
- Eine Möglichkeit, beim Surfen im Internet möglichst wenige der genannten Identifier preiszugeben, ist die Nutzung des Tor-Browsers. Mehr dazu im Beitrag „Anonym Surfen mit Tor“.
- Wer beim Surfen eine sogenannte VPN-Verbindung nutzt, kann damit seine IP-Adresse verschleiern. Die Vor- und Nachteile von VPN erklären wir im Beitrag „Mehr Privatsphäre durch VPNs“.
- Apps, die Ihre Privatsphäre respektieren, finden Sie im alternativen App-Store F-Droid. Wie der Store funktioniert, erklären wir im Beitrag „F-Droid: Verbraucherfreundlicher Store für Android-Apps“.