Skip to content

Die VPN- und Werbeblocker-Apps von Analyseunternehmen greifen heimlich auf Benutzerdaten zu

Laut einer Untersuchung von BuzzFeed News hat eine beliebte Analyseplattform heimlich Stammzertifikate auf Mobilgeräten installiert, damit Benutzerdaten aus ihren 20 oder mehr mobilen Apps für Werbeblocker und virtuelle private Netzwerke (VPN) abgerufen werden können.

Sowohl Google als auch Apple haben ihre App-Stores geprüft, um zumindest einige der Apps des Unternehmens Sensor Tower zu bereinigen, die von Entwicklern, Risikokapitalgebern, Publishern und anderen verwendet werden, um die Popularität, Nutzungstrends und Einnahmen zu verfolgen von Apps – Analysen, die Sie in den Twitter-Postings testen können.

Die Apps, die mehr als 35 Millionen Downloads haben, informieren Benutzer weder über ihre Verbindung zum Sensor Tower noch zeigen sie, dass ihre Daten von seinen Produkten verschlungen werden.

Einige der Apps sind nicht mehr verfügbar, aber BuzzFeed News gab bekannt, dass kürzlich eine Handvoll Apps im Google Play Store auf Sensor Tower zurückgeführt wurden, darunter Free and Unlimited VPN, Luna VPN, Mobile Data und Adblock Focus. Zwei der Apps – Adblock Focus und Luna VPN – waren auch im App Store von Apple erhältlich. Nachdem BuzzFeed News Apple kontaktiert hatte, entfernte das Unternehmen Adblock Focus. In ähnlicher Weise hat Google Mobile Data nach einem Heads-up entfernt. Beide Unternehmen haben erklärt, dass ihre Untersuchungen noch nicht abgeschlossen sind.

Laut BuzzFeed News ist es gelungen, den Besitzer der Apps zu finden, nachdem Code entdeckt wurde, der von Entwicklern erstellt wurde, die für Sensor Tower arbeiten. Ein Hinweis war ein Online-Lebenslauf eines Sensorturm-Entwicklers, der besagt, dass er „Android-Apps für die Sensor Tower-Analyseplattform“ erstellt hat. Sein GitHub-Benutzername wird im Code mehrerer Apps angezeigt. Ein anderer Sensor Tower-Entwickler sagt auf seiner persönlichen Website, dass er an großartigen streng geheimen iOS-Projekten arbeitet.

Soviel zum Versuch, Anzeigen zu blockieren

Nach der Installation fordern die VPN- und Werbeblocker-Apps die Benutzer auf, ein Stammzertifikat zu installieren, damit der Zertifikatsaussteller auf den gesamten Datenverkehr und die Daten zugreifen kann, die über ein Telefon übertragen werden. Sensor Tower sammelt nur „anonymisierte“ Nutzungs- und Analysedaten, die es in seine Produkte integriert.

Wenn das nach Trost klingt, denken Sie noch einmal darüber nach: Eine kürzlich durchgeführte Studie hat gezeigt, dass es noch einfacher ist, Personen anhand ihrer anonymisierten Daten zu identifizieren, als bisher angenommen. Das sagt viel aus, da wir seit Jahren wissen, dass überraschend genaue Rückschlüsse auf Käufer gezogen werden können, selbst aus ihren äußerst vagen Kaufdaten.

Randy Nelson, Leiter Mobile Insights bei Sensor Tower, sagte gegenüber BuzzFeed News, dass das Unternehmen „aus Wettbewerbsgründen“ weiterhin Eigentümer der Apps sei. Er sagt, dass Sensor Tower jetzt Schritte unternimmt, um die Verbindung zu den Apps „vollkommen klar“ zu machen.

Nelson sagte, dass die „überwiegende Mehrheit“ der in der Untersuchung genannten Apps inzwischen nicht mehr verfügbar ist, während einige „gerade untergehen“.

Sicher, viele sind inzwischen verstorben – hauptsächlich, weil sie aufgrund ihrer Verstöße gegen die Richtlinien gerissen wurden. Apple hat ein Dutzend aus seinem App Store entfernt, sagte ein Apple-Sprecher. Das Unternehmen entfernte Adblock Focus, nachdem BuzzFeed Kontakt aufgenommen hatte und sagte, dass es am Montag noch Luna VPN untersuchte.

Die Installation von Root-Zertifikat-Berechtigungen wird sowohl von Google als auch von Apple aufgrund der damit verbundenen Sicherheitsrisiken eingeschränkt. Laut BuzzFeed News umgehen die Apps von Sensor Tower die Root-Beschränkungen, indem sie Benutzer auffordern, nach dem Herunterladen einer App ein Zertifikat über eine externe Website zu installieren.

Es gibt kein kostenloses Mittagessen

Wir haben dieses Rätsel in der Vergangenheit gestellt und beantwortet: Wann ist ein VPN nicht privat?

Normalerweise, wenn Sie nicht dafür bezahlen.

Zugegeben, vielleicht stimmt das nicht immer – Opera hat beispielsweise vor einem Jahr seinen kostenlosen VPN-Dienst wieder in seinen Android-Browser gebracht.

Wir haben jedoch gesehen, dass „kostenlose“ VPNs auf andere Weise Geld mit Benutzern verdienen. Im Fall von Hotspot Shield bedeutete dies, dass Anzeigen angesehen oder zumindest einige Ihrer persönlichen Daten – Standort, Surfgewohnheiten, Kaufhistorie usw. – gesammelt und zur Vermarktung an Dritte verkauft werden mussten. Im August 2017 führten solche Praktiken dazu, dass bei der US-amerikanischen Federal Trade Commission (FTC) eine Beschwerde gegen das Unternehmen wegen „unfairer und irreführender Handelspraktiken“ eingereicht wurde.

Im Mai 2019 warnte das US-Heimatschutzministerium (DHS), dass ausländische Gegner an der Nutzung von VPN-Diensten interessiert sind. Mit anderen Worten, ausländische Spione verstecken sich möglicherweise in Ihrem VPN.

Wir haben es schon einmal gesagt und wir werden es noch einmal sagen. In den Worten von Paul Ducklin von Naked Security ist VPNs nichts Magisches:

Ein VPN verbessert die Sicherheit nicht auf magische Weise. Alles, was es wirklich tut, ist, Ihren VPN-Anbieter zu Ihrem neuen ISP zu machen - Ihrem „ersten Sprung“ ins Internet. Dieser erste Hop ist der einzige Ort, an dem ein einzelner Anbieter Ihren gesamten Datenverkehr sehen kann, unabhängig davon, ob er verschlüsselt ist oder nicht. Sie müssen Ihrem VPN-Anbieter vertrauen. Viel.

Tauschen Sie den Ausdruck „Werbeblocker-App“ oder „jede angeblich kostenlose App überhaupt“ gegen „VPN“ aus, und die Gleichung lautet erneut „Vorsicht“.

Published inUncategorized