-Anzeige-

Nutzerprofile aus Browser und Apps

Tracking in Apps – was Smartphone-Nutzer preisgeben

20.06.2014 von Christian Vilsbeck und Sebastian Wolters

Wie praktisch ist es doch, dass der Standort und der Besitzer des Smartphones eindeutig identifizierbar sind. Aber lesen Sie, welche Daten von Ihnen erhoben werden und an welche Netzwerke sie fließen.

Zuerst stellt sich natürlich die Frage, was steckt eigentlich hinter dem Begriff Tracking? Einfach gesagt geht es um die Ausforschung der Internetaktivitäten von Nutzern. Beim Surfen werden die aufgerufenen Webseiten ausgeforscht und so Bewegungsprofile angelegt. Das Tracking erlaubt die genaue Verfolgung, was jemand in welcher Reihenfolge auf einer Seite klickt, bei welcher Website er vorher war und zu welcher URL er als nächstes ging. Jede Eingabe und jeder Klick wird gespeichert, auch beispielsweise welche Google-Dienste genutzt werden.

Foto: lucadp - Fotolia.com

Durch dieses Tracking in Echtzeit erfolgt von den dahinter steckenden Werbenetzwerken ein sogenanntes Real Time Bidding: Werbeplätze einer Seite werden in Sekundenbruchteilen meistbietend verkauft, die Userprofile erhöhen den erzielten Wert. Der erzielte Preis hängt unter anderem von der Wertigkeit beziehungsweise Genauigkeit des Profils des Nutzers ab.

Vorgehensweisen beim Tracking

Für die Verfolgung der Aktivitäten eines Nutzers beim Surfen im Internet wird eine speziell zugeordnete Nummer vergeben. Diese in einem sogenannten Tracking-Cookie gespeicherte Identifikationsnummer wird bei jedem der weiteren Abrufe wieder übertragen. Dabei erfolgt der Transfer der Tracking-Cookies unabhängig von den unter Umständen wechselnden IP-Adressen oder Internetzugängen des Systems.

Im Gegensatz zu normalen Cookies werden Tracking Cookies in der Regel nicht direkt von der aufgerufenen Seite gesendet, sondern von Drittanbietern. Diese auf Tracking-Dienste spezialisierten Unternehmen versuchen, auf so vielen Seiten wie möglich präsent zu sein, um den Nutzer so präzise wie möglich auf seinem Weg durchs Web verfolgen zu können.

Die Geschäftsmodelle von Gratis-Apps

Geschäftsmodelle von Gratis-Apps: Freikaufen von Werbung
Nur 99 Cent und die Anzeigen erscheinen nicht mehr auf dem Bildschirm: Viele Gratis-Apps wie hier der „Android Assistant“ stopfen eine ohnehin überladenen Oberfläche noch mit Anzeigen voll – von denen sich der Nutzer dann durch Zahlung einer Gebühr befreien kann.

Geschäftsmodelle von Gratis-Apps: Datensammler
Sorgte Ende 2013 für Probleme: Die kostenlose „Taschenlampe“-App von Goldenshore Technologies sammelte nicht nur Daten der Nutzer, sondern gab sie auch an Anzeigenkunden weiter.

Geschäftsmodelle von Gratis-Apps: SMS-Verkauf
Vor dem Download dieser App sollte schon der gesunde Menschenverstand warnen: Nicht nur die schlechte automatische Übersetzung sondern vor allen Dingen das Geschäftsmodelle die „übriggebliebenen“ SMS weiterzuverkaufen sind mehr als dubios.

Geschäftsmodelle von Gratis-Apps: In-App-Käufe
Ein Geschäftsmodell, das besonders für Kinder und Jugendliche schnell gefährlich werden kann: In-App Käufe verführen schnell dazu, auch bei einer Gratis-App viel Geld auszugeben.

Gratis-Apps: Überall beliebt
Gratis-Apps werden besonders gerne von den Anwendern verwendet, die mit einem Android-Smartphone oder -Tablet unterwegs sind: Wie auch dieser Vergleich zu der Verwendung von Kauf-Apps unterstreicht (Quelle: Statista App Monitor)

Vorab prüfen: Zugriffsrechte
Was darf eine App beziehungsweise, welche Zugriffsmöglichkeiten benötigt sie? Bereits auf den verschiedenen Marktplätzen der mobilen Systemen (hier der Windows Store auf einem Windows Phone 8.1-System) kann der Nutzer in der Regel erfahren, auf welche Bereiche seines Geräts zugegriffen wird.

Vorab prüfen: Zugriffsrechte
An dieser Stelle wird leider allzu häufig „abgenickt“: Gerade bei der Installation von Gratis-Apps sollten Nutzer darauf achten, welche Berechtigungen das Programm auf dem Smartphone oder Tablet bekommen wird.

Vorab prüfen: App Info unter Android 4.4.2
Grundsätzliche Kontrolle möglich: Ein genauerer Blick in die App-Info, wie sie hier unter Android 4.4.2 (KitKat) bereitgestellt wird, gibt schon einen Eindruck davon, was eine App auf dem System darf und welche Daten sie verwenden kann.

Vorab prüfen: App Permission von F Secure
Welche meiner Apps greifen auf persönliche Daten zu? Die freie App App Permission von F-Secure zeigt dies recht übersichtlich auf.

Vorab prüfen: Schreibzugriff erforderlich?
Bedeutet nicht grundsätzlich, dass die Entwickler dieser App böse Absichten hatten: Nutzer müssen selbst entscheiden, ob sie es wie hier bei den Schreibzugriffen für sinnvoll und vertretbar halten, dass einen App diese Zugriffe bekommt.

Gefährliches Terrain: AppStores von Drittanbietern
Web-Store eines Drittanbieters für Apps (hier Amazon): Gerade dort finden Nutzer zwar viele Gratis-Anwendungen, müssen aber beispielsweise die „Installation von Apps unbekannter Herkunft“ zulassen.

Bezahl-App: Kostenpflichtig aber nutzlos
Es sind nur die Gratis-Apps, die versuchen die Nutzer mit dubiosen Geschäftspraktiken zu schädigen: Die App „Virus Shield“ befindet sich glücklicherweise nicht mehr im Google Play Store. Sie tat nichts, außer ein Symbol anzuzeigen – für 3,99 Dollar.

Tracking innerhalb Apps

Das Tracking in Apps ist wesentlich spezifischer und aufwendiger als bei Browsern, weil es Seitenabrufe in den Programmen nicht zwingend gibt. Ähnlich wie beim Tracking von Webseiten wird ein Tracking-Code in den Apps eingebunden. Eindeutige und unveränderbare Gerätekennungen ersetzen in den Apps die klassischen Cookies. Das Ziel beim Tracking innerhalb der Apps bleibt unverändert: Erstellung von Nutzerprofilen inklusive eines Bewegungsprofils.

Durch die eindeutigen Gerätekennungen von Smartphones oder auch Tablets lassen sich daran gebundene Informationen leichter zusammenführen. Damit ergeben die Tracking-Infos aus verschiedenen Apps auf einem Gerät ein Gesamtprofil über den Nutzer. Zu den eindeutigen Gerätekennungen zählen die WLAN MAC oder die Geräte ID. Weil Smartphones auch sehr persönliche Geräte sind, ergibt hier das Tracking auch ein viel genaueres Profil über den Nutzer. Im Gegensatz zum PC beziehungsweise dem darauf verwendeten Browser nutzt das Smartphone in der Regel nur eine Person. Entsprechend ist das Tracking-Profil eines Smartphone-Nutzers auch mehr wert.

Die Hürde für das Tracking in Apps stellen neben den gesetzlichen Regelungen die Richtlinien für Entwickler dar, die von den Anbietern der App Stores (beispielsweise Google, Apple, Microsoft) vorgegeben sind. Desweiteren erschweren die technischen Maßnahmen der jeweiligen Betriebssysteme wie iOS oder Android das Tracking. Beispielsweise verändern bestimmte Versionen der mobilen Betriebssysteme eindeutige Gerätekennungen unbrauchbar für das Tracking. Mit der IDFA (Identifier for Advertisers) für iOS und Android Advertising ID (AAID) gibt es außerdem veränderbare Geräte-IDs, die speziell für Werber gedacht sind. Die AAID wird ab August 2014 verpflichtend für Android Apps.

Folgende messbaren Kennzahlen aus den Tracking-Daten in Apps gibt es:

Anzahl Unique Visitors
New Visitors
Bildschirmansicht oder Ereignisse
Bildschirmgröße und verwendetes System
eCommerce Tracking
Nutzungsdauer
Installierte Apps
Mobilfunkprovider
Standortdaten
SSID des verbundenen WLANs und deren WLAN MAC
Sprache
Gerätetyp
Speicher- und Batteriestatus
Eindeutige Geräte IDs, SIM-Karten-IDs (IMSI, ICCID)
E-Mail-Adresse des Geräts (bsp. Google Play Account)

Übersicht von Tracking-Diensten

In der Tabelle finden Sie die typischen Tracking-Dienste, die bei der Sicherheitsüberprüfung von Apps durch das Hannover Testinstitut mediaTest digital zu finden sind:

Tracking-Dienste in Apps
Name	Advertise	Analytics	Tracking
12Mnkys			ja
161MEDIA	ja		ja
360Yield	ja
ad-x.co.uk			ja
Adeven		ja	ja
Addapptr	ja
Adinch	ja
adjust.io		ja	ja
AdMarvel	ja	ja
Admeta	ja
Admob	ja
Adnexus	ja		ja
adpepper	ja		ja
adscale	ja
AdSpirit	ja
AdTech	ja	ja
affilinet	ja		ja
amobee	ja		ja
Applause		ja
Applovin	ja	ja
Appoxee	ja	ja	ja
Apprupt	ja		ja
Appsflyer		ja	ja
Apsalar	ja	ja	ja
Atdmt	ja
Bango		ja
Bizo	ja		ja
Bluekai		ja
BrightRoll	ja
Bugsense		ja
Burstmedia	ja
Capptain		ja
Chartbeat	ja	ja
comScore		ja
Crashlytics		ja
Criteo	ja	ja	ja
Crittercism	ja	ja	ja
demdex	ja	ja
Doubleclick	ja
ensighten		ja
eTracker		ja	ja
Fiksu	ja	ja
flashtalking		ja	ja
Flurry		ja	ja
heatmap.it		ja
Hockeyapp		ja
iAd		ja
INFOnline		ja
InMobi	ja	ja
IntelliAd			ja
Jumptap	ja
KISSmetrics		ja	ja
Kupona	ja		ja
Liverail		ja
Localytics		ja
madvertise	ja
Maxmind		ja
Meetrics	ja	ja
Metrigo	ja	ja
Mixpanel		ja
Mobify	ja	ja
Mocean	ja	ja
MologIQ	ja
Mookie 1	ja
MoPub	ja	ja	ja
mydas	ja	ja
myThings	ja		ja
New Relic		ja
NextPerformance		ja
Nosto	ja	ja
Nuance	ja
Nuggad	ja		ja
Omniture		ja
OpenX	ja
Outbrain		ja
Parse		ja
Phorm	ja
Piwik		ja
Plista	ja
Pusher	ja
Quantserve	ja	ja
Quisma	ja
Refined Ads		ja	ja
Rubicon Project	ja		ja
segment.io		ja
Smart AdServer	ja
Sociomantic		ja	ja
Swelen	ja
Tapjoy	ja	ja
Tapstream	ja		ja
Testflight
Tradedoubler	ja		ja
Trademob	ja		ja
Transpera	ja
TripleDoubleU	ja		ja
Turn		ja
Unister Adservices	ja
Unruly	ja	ja
up-value	ja
Urban Airship		ja
Vesselapp		ja
Vibrant	ja
Vinsight			ja
weborama	ja
Webtrekk		ja
Webtrends		ja
Xiti		ja	ja
xretarget		ja
Yieldlab	ja
Yieldmanager	ja	ja	ja
Yield-Optimizer	ja
YOC.com	ja
YuMe	ja
Zanox	ja

Weitere Informationen zum Thema finden Sie in unserem Special Tag der sicheren App. (cvi)