Wired & 404 Media: Tausende mobile Apps werden bis 2024 Standortdaten sammeln und damit die Privatsphäre von zig Millionen Nutzern beeinträchtigen

Tausende beliebte mobile Apps für Android und iOS wurden angeblich missbraucht, um sensible Standortdaten in einem noch nie dagewesenen Ausmaß zu sammeln. Diese Datenerfassung über das Werbe-Ökosystem erfolgt wahrscheinlich ohne das Wissen der Benutzer oder sogar der App-Entwickler selbst.

Die Informationen stammten aus gehackten Dateien von Gravy Analytics, einem Standortdatenunternehmen, dessen Tochtergesellschaft Venntel globale Standortdaten an US-amerikanische Strafverfolgungsbehörden verkaufte. Wired berichtete über die Informationen und arbeitete mit 404 Media zusammen, um diese Geschichte zu produzieren.

Durch den Datendiebstahl wurde ein riesiges Netzwerk an Apps offengelegt, von beliebten Spielen wie Candy Crush bis hin zu Dating-Apps wie Tinder und Grindr. Es umfasst auch sensible Kategorien wie Schwangerschaftsverfolgung und Apps für religiöse Gebete.

„Wir haben offenbar den ersten öffentlichen Beweis dafür, dass einer der größten Datenhändler, der Daten an kommerzielle und staatliche Kunden verkauft, offenbar Daten aus den ‚Gebotsströmen‘ der Online-Werbung sammelt, anstatt Code in die Anwendungen selbst einzubetten“, sagte Zach Edwards, leitender Bedrohungsanalyst beim Cybersicherheitsunternehmen Silent Push, gegenüber 404 Media.

Die Nachricht wirft ein neues Licht auf die Welt des Real-Time Bidding (RTB), also den Prozess, bei dem Unternehmen Gebote für die Platzierung von Anzeigen in Apps abgeben. Dieses System hat allerdings einen gefährlichen Nebeneffekt: Datenhändler können den Vorgang abfangen und so an die Standortdaten der Handynutzer gelangen.

Edwards bezeichnete dies als „Albtraum für die Privatsphäre“ und fügte hinzu: „Es gibt Unternehmen, die wie globale Honigdachse sind und mit jedem Datenstück machen, was sie wollen.“

Das Ausmaß der Datensammlung ist atemberaubend. Die gehackten Gravy-Daten enthielten zig Millionen Handykoordinaten von Geräten in den USA, Russland und Europa. Die Liste der betroffenen Apps ist lang und umfasst Kategorien wie soziale Netzwerke, Fitness-Tracker, E-Mail-Clients und sogar VPN-Apps, die Benutzer zum Schutz ihrer Privatsphäre herunterladen.

Obwohl der Datenverstoß offenbar Gravy Analytics betrifft, ist unklar, ob Gravy die Standortdaten selbst erfasst oder aus einer anderen Quelle bezogen hat. Der Datensatz, der bis ins Jahr 2024 zurückreicht, bietet einen seltenen Einblick in die undurchsichtige Welt der Standortdatenbranche.

Gravy Analytics spielt in diesem Ökosystem eine zentrale Rolle, indem es Standortdaten von Mobiltelefonen aus verschiedenen Quellen sammelt und über seine Tochtergesellschaft Venntel an kommerzielle Unternehmen oder Regierungsbehörden verkauft. Frühere Untersuchungen haben gezeigt, dass zu Venntels Kunden mehrere US-Regierungsbehörden gehören, darunter Immigration and Customs Enforcement (ICE), Customs and Border Protection (CBP), Internal Revenue Service (IRS), Federal Bureau of Investigation (FBI) und Drug Enforcement Administration (DEA).

Die Auswirkungen dieser Datensammlung sind weitreichend, geben Anlass zu ernsthaften Bedenken hinsichtlich des Datenschutzes und verdeutlichen die Möglichkeit, dass diese Daten für Zwecke verwendet werden könnten, die die Benutzer nie beabsichtigt oder denen sie nie zugestimmt haben. So wurde in den Medien beispielsweise gezeigt, wie ein Tool namens „Locate X“ Venntel-Daten nutzte, um Besucher von Abtreibungskliniken außerhalb des Staates zu überwachen.

Die meisten App-Entwickler und Unternehmen auf der Liste reagierten nicht auf Anfragen nach Kommentaren. Flightradar24 teilte jedoch in einer E-Mail mit, dass man noch nie von Gravy gehört habe, räumte jedoch ein, dass die Anzeigen angezeigt würden, um „dazu beizutragen, dass Flightradar24 kostenlos bleibt“.

Tinder bestritt jegliche Verbindung zu Gravy Analytics, während Muslim Pro (eine der betroffenen Gebets-Apps) behauptete, es habe dem Werbenetzwerk nicht die Erlaubnis erteilt, Standortdaten seiner Benutzer zu sammeln.

Besonders bedeutsam ist die Feststellung, dass diese Daten offenbar aus Echtzeitgeboten stammen. Die Schuld wird auf die schlechten Akteure in der Werbebranche und die Technologiegiganten geschoben, die diese ermöglichen. Dies lässt auch darauf schließen, dass sich viele große App-Herausgeber möglicherweise nicht darüber im Klaren sind, dass ihre Benutzerdaten gestohlen werden, was es schwierig macht, vorbeugende Maßnahmen zu ergreifen.

Krzysztof Franaszek, Gründer des digitalen Forensikunternehmens Adalytics, überprüfte die durchgesickerten Daten und stellte fest, dass „zumindest einige dieser Daten wahrscheinlich aus Echtzeit-Geboten im Zusammenhang mit Werbung stammen“. Er verwies auf Belege dafür, dass auf der Anzeigenplattform von Google Anzeigen geschaltet werden, die diese Art der Verfolgung durch externe Unternehmen, darunter auch potenzielle Regierungsauftragnehmer, ermöglichen.

Die US-amerikanische Federal Trade Commission ging kürzlich gegen ähnliche Praktiken vor. Im Dezember verbot die Behörde dem Standortdatenunternehmen Mobilewalla, Verbraucherdaten „für andere Zwecke als die Teilnahme an Online-Anzeigenauktionen“ zu sammeln. Die FTC ordnete außerdem an, dass Venntel und Gravy Analytics historische Standortdaten löschen müssen und verbot ihnen den Verkauf von Daten zu sensiblen Bereichen wie medizinischen Kliniken und Gotteshäusern, außer unter bestimmten Umständen.

Von der chinesischen Industrieinformationsstation