Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
Viele Nutzer schwören auf VPN-Dienstleister, um bspw. ihre Privatsphäre im Internet zu schützen oder Geo-Sperren zu umgehen. Ich warne schon lange vor VPN-Diensten, die einem »100%ige Anonymität« versprechen bzw. ihre Nutzer nur unzureichend darüber aufklären, wo die Grenzen der versprochenen Anonymität liegen.
Hinweis
Übersicht bisheriger Stichproben:- Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
- CyberGhost VPN: Android-App verseucht mit Trackern
- VyprVPN: No-Logging-Versprechen wertlos?
- Avast SecureLine VPN: 14 Tracker in einer App!
- AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern
- ProtonVPN: Google CrashLytics mit an Bord
Stichprobenartig habe ich mir mal die NordVPN-App (Version 3.9.8) für Android angeschaut. Diese beinhaltet nicht nur einige Tracker, sondern übersendet eure E-Mail-Adresse, zusammen mit eindeutigen Identifikationsmerkmalen wie die Google Advertising-ID, bei der Registrierung sogar noch an einen Drittanbieter (Iterable Inc.):
POST /api/users/registerDeviceToken HTTP/1.1 Accept: application/json Content-Type: application/json api_key: faaca8955069414a90944ff6ef352470 User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: api.iterable.com Connection: close Accept-Encoding: gzip, deflate Content-Length: 660 {"email":"email@email.de","device":{"token":"fYM5oW_zSHM:APA91bGuIk1ZopXpWmIRE2CAIKyifD4my_7jdoP4H0_vNN8bHKwkYHKa14MaE7zkO5L815_MkXm9bpulOp9eEgy_i0uKpgFljI6dVtD4pOnIieBkRZqvAw_SZ_V-UQb0g_Jas_YIn79e","platform":"GCM","applicationName":"com.nordvpn.android","dataFields":{"tokenRegistrationType":"FCM","firebaseCompatible":true,"brand":"Xiaomi","manufacturer":"Xiaomi","advertisingId":"c8639f11-626a-4292-9574-6a0e632e1ea3","systemName":"mido","systemVersion":"7.1.2","model":"Redmi Note 4","sdkVersion":25,"deviceId":"c8fec045-1bd4-4b71-8b2e-ed16c7bbf06f","appPackageName":"com.nordvpn.android","appVersion":"3.9.8","appBuild":"380","iterableSdkVersion":"3.0.5"}}}
Des Weiteren beinhaltet die App noch fünf weitere Tracker:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Tune
An AppsFlyer wird unter anderem übermittelt:
POST /api/v4/androidevent?buildnumber=4.8.17&app_id=com.nordvpn.android HTTP/1.1 Content-Length: 2324 Content-Type: application/json User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: t.appsflyer.com Connection: close Accept-Encoding: gzip, deflate {"device":"mido","firstLaunchDate":"2019-01-21_093308+0000","installDate":"2019-01-21_092523+0000","sdk":"25","carrier":"","batteryLevel":"100.0","date1":"2019-01-21_092523+0000","cksm_v1":"dde376f36e311848afc1b61497729f1cf6","af_preinstalled":"false","advertiserIdEnabled":"true","af_sdks":"1000000000","iaecounter":"0","appsflyerKey":"fxZ3KXVxgjJth7Y8GzGgvK","lang_code":"de","registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"3.9.8","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"100.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[0.015487671,0.022598267,-0.013870239],"sVS":[-0.061203003,-0.059432983,0.04260254],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[46.717834,-18.313599,-34.529114],"sVS":[46.717834,-20.56427,-33.029175],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[0.6355438,6.844879,7.2422333],"sVS":[0.1184082,6.7634735,7.1632233],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"af_v2":"59b30684bae2627da7a03d22915db0227d41affe","deviceType":"user","af_v":"351ace7ef0027d780bb6614ca88a093362ffb584","app_version_code":"380","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"1548062710","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-21_092523+0000","brand":"Xiaomi","af_timestamp":"1548063187650","uid":"1548063187688-1573157909640937616","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}
Also Informationen wie:
- Gerät bzw. Hersteller
- Batterieladezustand
- Google Advertising-ID
- Gyro-Sensor-Daten
- Bildschirmgröße
- LineageOS Build-Version
- Konnektivität (WLAN)
- Mobilfunkanbieter (UnityMedia)
- […]
In der Datenschutzerklärung zur App finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden.
Persönlich würde ich die App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Das Ergebnis wirft insgesamt kein gutes Bild auf die NordVPN-App bzw. den Anbieter selbst.
Update: In einem Ticket antwortet der Support von NordVPN wie folgt:
Hello there! We use these tools to monitor aggregated data to improve UI/UX and determine the efficiency of our marketing campaigns. They are not related to the user’s activity when using our VPN service. In case you have further questions, do not hesitate to drop us a DM!
Die Antwort ist leider nicht zufriedenstellend, da der Nutzer nicht darüber informiert wird, dass im Zuge der Registrierung, seine E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt wird. Und Marketinggründe als Zweck anzugeben, weshalb die E-Mail-Adresse übermittelt wird, halte ich im sensiblen VPN-Umfeld für äußerst fragwürdig.