Mike Kuketz
1. Juni 2017 | 09:24 Uhr

Android: Crashlytics ein gigantisches Datengrab

Kennt ihr den Dienst Crashlytics für Android oder auch iOS? Nein? Nun dieser Dienst werkelt garantiert in einem eurer Apps, wenn ihr nicht gerade all eure Apps aus dem F-Droid Store bezogen habt. Das bedeutet auf (fast) jedem Smartphone kommt Crashlytics zum Einsatz. Welche Aufgabe hat dieses Modul, das von den meisten App-Entwicklern integriert wird?

Crashlytics sammelt Daten zur App-Verwendung speziell in Bezug auf Systemabstürze und Fehler. Dabei werden Informationen zum Gerät, zu der App-Version, die installiert ist, sowie andere Informationen verwendet, die helfen können, Fehler zu beheben, vor allem in Bezug auf die Soft- und Hardware des Nutzers.

Mir stößt dieses Crashlytics immer sauer auf, wenn ich sehe, was dieses Modul direkt beim Start einer neu installierten App übermittelt, obwohl noch kein Absturz vorliegt:

  • X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
  • X-CRASHLYTICS-API-KEY: f50645503043638eec8e2d848ab9a41b01a544f5
  • X-CRASHLYTICS-API-CLIENT-TYPE: android
  • X-CRASHLYTICS-API-CLIENT-VERSION: 1.3.13.142
  • X-CRASHLYTICS-DEVICE-MODEL: LGE/Nexus 5
  • X-CRASHLYTICS-OS-BUILD-VERSION: 5bd9fec027
  • X-CRASHLYTICS-OS-DISPLAY-VERSION: 6.0.1
  • X-CRASHLYTICS-ADVERTISING-TOKEN: 89bbc559-8c3a-4202-a9f0-ceb039f65a45
  • X-CRASHLYTICS-INSTALLATION-ID: b34889ce749c4051ab35600ab6833179
  • X-CRASHLYTICS-ANDROID-ID: 13ccede7s062cacu

Developer-Token, API-Key und auch Android Version – alles in Ordnung. Das sind eher unkritsche Meta-Informationen. Aber wozu muss die Google Advertisting-ID (89bbc559-8c3a-4202-a9f0-ceb039f65a45) oder die einmalig beim ersten Booten eines Systems generierte Android Device-ID (13ccede7s062cacu) ausgelesen und übermittelt werden? Will mir Crashlytics irgendwie Werbung anzeigen? Diese Daten werden erhoben, obwohl noch kein Absturz der App vorliegt. Im Grunde genommen würde es ausreichen, wenn diese Daten erst dann erhoben und übermittelt werden, sofern ein Absturz vorliegt. Dann aber ohne eindeutige Identifier, wie die Google Advertisting-ID oder Android Device-ID – diese Informationen werden für die Diensterbringung nicht benötigt und werden offenbar für andere Zwecke gesammelt.

Übrigens: Crashlytics wurde im Januar 2017 von Google gekauft. Frei nach Willy Brandt:

Es wächst zusammen, was zusammen gehört.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Avira Consent-Banner
29. November 2021

Avira Security Antivirus & VPN: Tracking ohne Zustimmung

Das vorliegende Android-Review befasst sich mit der Android-App Avira Security Antivirus & VPN (Version 7.9.1). Die App wird von der…
Microblog
6. Oktober 2017

ZDFmediathek: Datenübermittlung an Drittanbieter wie Facebook

Die ZDFmediathek-App für Android übermittelt trotz der deaktivierten Funktion »Social-Media anzeigen« (Default) Daten und IP-Adresse des Nutzers an Facebook. Nach…
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.