7Mind Meditations-App: Ohne Google geht nichts | Anmeldung via Facebook?

Im Rahmen des Projekts »Datensendeverhalten: Analyse von Gesundheits-Apps« habe ich die App 7Mind Meditation & Achtsamkeit (Version 2.6.1) einem Kurzcheck unterzogen. Die Meditations-App soll die Achtsamkeit fördern und wird unter anderem von der BARMER-Krankenkasse empfohlen bzw. ist mit 7Mind eine Kooperation eingegangen. Beginnen wir mit den Netzwerkverbindungen, die 7Mind Meditation & Achtsamkeit während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Google, um abzufragen, ob der Nutzer bereits In-App-Käufe getätigt hat. [android.clients.google.com]:

GET /fdfe/inAppPurchaseHistory?bav=6&shpn=de.sevenmind.android&iabt=inapp HTTP/1.1
User-Agent: Android-Finsky/17.2.20-all%20%5B0%5D%20%5BPR%5D%20276779105 (api=3,versionCode=81722000,sdk=28,device=tissot,hardware=qcom,product=lineage_tissot,platformVersionRelease=9,model=Mi%20A1,buildId=PQ3A.190801.002,isWideScreen=0,supportedAbis=arm64-v8a;armeabi-v7a;armeabi)
[...]

Google erfährt darüber diverse Geräteinformationen – die Google im Grunde aber sowieso bereits besitzt, sofern jemand ein herkömmliches Android-Gerät mit Google Play Store nutzt:

• SDK-Version: 28 (Android 9.x)
• Modell: Mi A1
• Build-ID des ROMs: PQ3A.190801.002
• Plattform: arm64-v8a

[2] Als nächstes registriert sich die App bei Googles Firebase Cloud Messaging (FCM) Dienst, um Push-Nachrichten erhalten zu können [android.clients.google.com]:

POST /c2dm/register3 HTTP/1.1
Authorization: AidLogin 3987101947870341582:3138298696572731638
app: de.sevenmind.android
gcm_ver: 19568039
User-Agent: Android-GCM/1.5 (tissot PQ3A.190801.002)
Content-Length: 400
content-type: application/x-www-form-urlencoded
Host: android.clients.google.com
Connection: close
Accept-Encoding: gzip, deflate

X-subtype=1034764388299&sender=1034764388299&X-app_ver=183&X-osv=28&X-cliv=fiid-12451000&X-gmsv=19568039&X-appid=f-VTFGKD4eg&X-scope=*&X-gmp_app_id=1%3A1034764388299%3Aandroid%3Acb03d8f6ad8d4f30&X-app_ver_name=2.6.1&app=de.sevenmind.android&device=3987101947870341582&app_ver=183&info=k5tycOgMC4QRQEb1aBJ6XhzSBVA3pRY&gcm_ver=19568039&plat=0&cert=8b4f4b4456d8764d89b1666f80c33321498ec30a&target_ver=28

In diesem Datenpaket sind unter anderem folgende Informationen enthalten:

• App-Versionsnummer: 2.6.1
• Package-Name der App: de.sevenmind.android
• FCM- bzw. GCM-Version: 19568039
• Geräte-ID: 3987101947870341582

Damit weiß Google nun, dass die App nicht nur heruntergeladen, sondern auch aktiv genutzt wird.

[3] Die Server des App-Anbieters werden ebenfalls kontaktiert, um das passende Sprachpaket bzw. Übersetzungen zu laden [api.7mind.de]:

GET /v2/packages?lang=de HTTP/1.1
Accept: application/json
Content-Type: application/json
User-Agent: Android
Authorization: Basic N21pbmQ6U2llYmVuZ2Vpc3QhNw==
Host: api.7mind.de
Connection: close
Accept-Encoding: gzip, deflate

Registrierung: Willkommen bei 7Mind!

Zu Beginn werden dem Nutzer einige Fragen gestellt, um die App einzurichten. Besitzt man noch kein Konto bei 7Mind muss zunächst eines eingerichtet werden – damit stimmt man gleichzeitig auch den Datenschutzbestimmungen zu:

• Name: Max Mustermann
• E-Mail: testmuster@test.de
• Passwort: 123456

POST /v2/signup HTTP/1.1
Accept: application/json
User-Agent: Android
Authorization: Basic N21pbmQ6U2llYmVuZ2Vpc3QhNw==
Content-Type: application/json; charset=UTF-8
Content-Length: 106
Host: api.7mind.de
Connection: close
Accept-Encoding: gzip, deflate

{"user":{"email":"testmuster@test.de","language_code":"de","name":"Max Mustermann","password":"123456"}}

Die E-Mail-Adresse wird nicht weiter validiert – es findet also keine Prüfung statt, ob die E-Mail-Adresse tatsächlich dem Konto-Ersteller gehört.

Alternativ kann man sich auch via Facebook-Konto anmelden – erschreckend für eine (Gesundheits-)App, die von einer Krankenkasse empfohlen wird.

Nach der Anmeldung bzw. Registrierung wird man von der App begrüßt:

Danke dir, Max Mustermann! Dein Profil ist erstellt.

Anschließend kann man »alles freischalten« (kostenpflichtig: 11,99 € pro Monat / 59,99 € pro Jahr / 148,99 € einmalig) oder zunächst den Grundlagenkurs absolvieren. Im Hintergrund lädt die App derweil Audiodaten von Google Servern nach [storage.googleapis.com]:

GET /files-7mind-de/uploads/meditation/audio/126/3_Min_with_1_Min_Interval.mp3 HTTP/1.1
Host: storage.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.1.0

Nutzung der App

Ich tippe auf Grundlagenkursund absolviere die erste 7-Minuten-Meditation. Währenddessen wird nichts im Hintergrund übermittelt.

Nach Abschluss einer Meditations-Session wird Folgendes an 7Mind übermittelt:

POST /v2/me/activities HTTP/1.1
Accept: application/json
User-Agent: Android
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOjk5NjgzODk2NywidXVpZCI6IjkxZTc5ODAzLWU1ZGQtNDEyOC1hNTk1LTgzZjVkZjU5ZDA0MCJ9.Bk0RCAR3MP4kw7oB3tJtJ7HUfgw-DVa2vW-9o6BV6Fo
Content-Type: application/json; charset=UTF-8
Content-Length: 157
Host: api.7mind.de
Connection: close
Accept-Encoding: gzip, deflate

{"activity":{"at":"2019-11-04T12:42:43.731+0100","duration":537988,"id":"2a813fc6-3b2b-43ee-b06a-a429436a63b7","subject_id":"1","subject_type":"Meditation"}}

Etwas aufgeschlüsselt:

• Wann die Medition gestartet wurde: 04.11.2019 um 12:42 Uhr
• Die Länge der Meditiation
• Eine ID
• Name der Session

Kurzcheck der Datenschutzerklärung

Die Datenschutzerklärung ist relativ umfangreich, geht aber nur kurz auf die App ein. Hauptsächlich umfasst die Datenschutzerklärung Informationen zur Datenerfassung auf der Webseite von 7Mind und welche Analyse Tools bzw. Werbung / Newsletter-Dienst zum Einsatz kommen:

• Google Analytics
• Facebook Pixel
• Hotjar
• MailChimp

All diese Dienstleister sind nicht gerade der Kategorie »datenschutzfreundlich« zuzuordnen.

Welche Daten innerhalb der App erfasst und wie diese verarbeitet werden, wird nur kurz angerissen. Das zur Nutzung der App ein Google-Konto notwendig ist bleibt unter anderem unklar.

Fazit

Eine (Gesundheits-)App, die eine Anmeldung via Facebook-Konto ermöglicht, ist aus meiner Sicht eine Datenschutzkatastrophe. Eine Anmeldung und Datenverknüpfung über ein Unternehmen herzustellen, das wohl als schlampigstes Unternehmen des Jahrzehntes in die Geschichte eingeht, ist einfach unerklärlich.

Davon abgesehen bietet die App noch eine Registrierung bzw. Anmeldung über eine E-Mail-Adresse an – die allerdings nicht verifiziert wird. Leider lässt sich die App nur dann wirklich nutzen, wenn der Google Play Store auf dem Gerät vorhanden ist. Datenschutzbewusste Android-Nutzer werden die App aufgrund der technisch bedingten In-App-Käufe (via Google) und der Abrechnungsmethode via Play Store nicht nutzen können.

---

Ähnliche Beiträge

24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.

9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.

16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.

20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.

29. November 2021

Avira Security Antivirus & VPN: Tracking ohne Zustimmung

Das vorliegende Android-Review befasst sich mit der Android-App Avira Security Antivirus & VPN (Version 7.9.1). Die App wird von der…