Mike Kuketz
21. Januar 2019 | 11:02 Uhr

Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter

Viele Nutzer schwören auf VPN-Dienstleister, um bspw. ihre Privatsphäre im Internet zu schützen oder Geo-Sperren zu umgehen. Ich warne schon lange vor VPN-Diensten, die einem »100%ige Anonymität« versprechen bzw. ihre Nutzer nur unzureichend darüber aufklären, wo die Grenzen der versprochenen Anonymität liegen.

Hinweis

Übersicht bisheriger Stichproben:

Stichprobenartig habe ich mir mal die NordVPN-App (Version 3.9.8) für Android angeschaut. Diese beinhaltet nicht nur einige Tracker, sondern übersendet eure E-Mail-Adresse, zusammen mit eindeutigen Identifikationsmerkmalen wie die Google Advertising-ID, bei der Registrierung sogar noch an einen Drittanbieter (Iterable Inc.):

POST /api/users/registerDeviceToken HTTP/1.1
Accept: application/json
Content-Type: application/json
api_key: faaca8955069414a90944ff6ef352470
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: api.iterable.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 660

{"email":"email@email.de","device":{"token":"fYM5oW_zSHM:APA91bGuIk1ZopXpWmIRE2CAIKyifD4my_7jdoP4H0_vNN8bHKwkYHKa14MaE7zkO5L815_MkXm9bpulOp9eEgy_i0uKpgFljI6dVtD4pOnIieBkRZqvAw_SZ_V-UQb0g_Jas_YIn79e","platform":"GCM","applicationName":"com.nordvpn.android","dataFields":{"tokenRegistrationType":"FCM","firebaseCompatible":true,"brand":"Xiaomi","manufacturer":"Xiaomi","advertisingId":"c8639f11-626a-4292-9574-6a0e632e1ea3","systemName":"mido","systemVersion":"7.1.2","model":"Redmi Note 4","sdkVersion":25,"deviceId":"c8fec045-1bd4-4b71-8b2e-ed16c7bbf06f","appPackageName":"com.nordvpn.android","appVersion":"3.9.8","appBuild":"380","iterableSdkVersion":"3.0.5"}}}

Des Weiteren beinhaltet die App noch fünf weitere Tracker:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Tune

An AppsFlyer wird unter anderem übermittelt:

POST /api/v4/androidevent?buildnumber=4.8.17&app_id=com.nordvpn.android HTTP/1.1
Content-Length: 2324
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: t.appsflyer.com
Connection: close
Accept-Encoding: gzip, deflate

{"device":"mido","firstLaunchDate":"2019-01-21_093308+0000","installDate":"2019-01-21_092523+0000","sdk":"25","carrier":"","batteryLevel":"100.0","date1":"2019-01-21_092523+0000","cksm_v1":"dde376f36e311848afc1b61497729f1cf6","af_preinstalled":"false","advertiserIdEnabled":"true","af_sdks":"1000000000","iaecounter":"0","appsflyerKey":"fxZ3KXVxgjJth7Y8GzGgvK","lang_code":"de","registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"3.9.8","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"100.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"af_v2":"59b30684bae2627da7a03d22915db0227d41affe","deviceType":"user","af_v":"351ace7ef0027d780bb6614ca88a093362ffb584","app_version_code":"380","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"1548062710","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-21_092523+0000","brand":"Xiaomi","af_timestamp":"1548063187650","uid":"1548063187688-1573157909640937616","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}

Also Informationen wie:

  • Gerät bzw. Hersteller
  • Batterieladezustand
  • Google Advertising-ID
  • Gyro-Sensor-Daten
  • Bildschirmgröße
  • LineageOS Build-Version
  • Konnektivität (WLAN)
  • Mobilfunkanbieter (UnityMedia)
  • […]

In der Datenschutzerklärung zur App finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden.

Persönlich würde ich die App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Das Ergebnis wirft insgesamt kein gutes Bild auf die NordVPN-App bzw. den Anbieter selbst.

Update: In einem Ticket antwortet der Support von NordVPN wie folgt:

Hello there! We use these tools to monitor aggregated data to improve UI/UX and determine the efficiency of our marketing campaigns. They are not related to the user’s activity when using our VPN service. In case you have further questions, do not hesitate to drop us a DM!

Die Antwort ist leider nicht zufriedenstellend, da der Nutzer nicht darüber informiert wird, dass im Zuge der Registrierung, seine E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt wird. Und Marketinggründe als Zweck anzugeben, weshalb die E-Mail-Adresse übermittelt wird, halte ich im sensiblen VPN-Umfeld für äußerst fragwürdig.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Microblog
29. Januar 2019

Avast SecureLine VPN: 14 Tracker in einer App!

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter…
Microblog
31. Januar 2019

AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter…
Microblog
27. Januar 2019

CyberGhost VPN: Android-App verseucht mit Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter…
VPN anonym
30. November 2016

Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter

Ein VPN wird oft als Allheilmittel angepriesen: Unter anderem versprechen viele Anbieter 100% Anonymität. Was ist dran an diesen Werbeversprechen?
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.