Avast SecureLine VPN: 14 Tracker in einer App!

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich groß geschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.

Die Android-App von Avast SecureLine VPN (v. 5.4.10305) beinhaltet 14 Tracker – in Worten »vierzehn«:

  • AppsFlyer
  • Facebook Ads
  • Facebook Analytics
  • Facebook Login
  • Facebook Places
  • Facebook Share
  • Google Ads
  • Google Analytics
  • Google CrashLytics
  • Google DoubleClick
  • Google Firebase Analytics
  • Inmobi
  • Moat
  • Twitter MoPub

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google Advertising ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: com.avast.android.vpn
    • Versionsnummer der App: 5.4.10305
    • Android-Versionsnummer: 7.1.2
    • Gerätemodell: Redmi Note 4
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint zu Avast noch nicht durchgedrungen zu sein – einfach unverantwortlich.

[2] An die Analysefirma AppsFlyer (Firmensitz San Francisco, USA) werden eine ganze Reihe von Informationen übermittelt:

POST /api/v4/androidevent?buildnumber=4.8.18&app_id=com.avast.android.vpn HTTP/1.1
Content-Length: 2486
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: t.appsflyer.com
Connection: close
Accept-Encoding: gzip, deflate

{"device":"mido","firstLaunchDate":"2019-01-29_071918+0000","installDate":"2019-01-29_071839+0000","sdk":"25","referrer":"utm_source=google-play&utm_medium=organic","carrier":"","batteryLevel":"98.0","date1":"2019-01-29_071839+0000","cksm_v1":"f386d163cbdc45400fb840f64bee7fc81d","af_preinstalled":"false","advertiserIdEnabled":"true","iaecounter":"0","appsflyerKey":"wZcqnM6Vz7bNyBzNMiqPXU","lang_code":"de","ivc":false,"registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"5.4.10305","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"98.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[0.0032958984,-0.0014953613,0.0040283203],"sVS":[0.0022277832,0.0016937256,-0.0023651123],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-1.6030273,1.5249634,9.64122],"sVS":[-1.5790863,1.508194,9.5047455],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[0.0032958984,-0.0014953613,0.0040283203],"sVS":[0.0022277832,0.0016937256,-0.0023651123],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[47.016907,11.647034,-32.42798],"sVS":[44.6167,11.99646,-33.628845],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[47.016907,11.647034,-32.42798],"sVS":[44.6167,11.99646,-33.628845],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-1.6030273,1.5249634,9.64122],"sVS":[-1.5790863,1.508194,9.5047455],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"appUserId":"4cf53d33-35f2-4038-8cdd-a16e640ccd2c","af_v2":"fbc2addcc039b91c7093b25766f8521c5e0ad7ed","deviceType":"user","af_v":"3cc207807b480fd86903e21e9e57f99ccc765dd7","app_version_code":"1010305","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"1548746310","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-29_071839+0000","brand":"Xiaomi","af_timestamp":"1548746357064","uid":"1548746356524-8399032089609344860","isFirstCall":"true","kef4266":"7ce1f4ae1def690448191a1b0c531a0d591f1a0d5a1f19","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}

Also Informationen wie:

  • Gerät bzw. Hersteller
  • Batterieladezustand
  • Google Advertising-ID
  • Gyro-Sensor-Daten
  • Bildschirmgröße
  • LineageOS Build-Version
  • Konnektivität (WLAN)
  • Mobilfunkanbieter (UnityMedia)
  • […]

[3] Unmittelbar nach dem Start der App kontaktiert die App den hauseigenen Analysedienst des VPN-Anbieters. Unter anderem werden folgende Informationen übermittelt [analytics.ff.avast.com]:

  • Gerät: Xiaomi
  • Android-Version: 7.1.2
  • Installationsquelle: Google Play Store
  • Abomodell: TestFreemium
  • Paketname: com.avast.android.vpn
  • Versionsnummer der App: 5.4.10305
  • […]

[4] Zur Analyse von Abstürzen hat Avast CrashLytics integriert, um Google mit noch mehr Daten zu versorgen, als sie eigentlich schon haben:

GET /spi/v2/platforms/android/apps/com.avast.android.vpn/settings?icon_hash=e5f5d61459a808eae485317d3cf613a59f593592&display_version=5.4.10305&source=4&instance=0da478c21c66157b77ca8b0153b79efd25f213b4&build_version=1010305 HTTP/1.1
User-Agent: Crashlytics Android SDK/1.4.4.27
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-API-KEY: 8b94355ff161c5ea345c0acdee83f64992e9e5a9
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-API-CLIENT-VERSION: 1.4.4.27
Accept: application/json
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
X-CRASHLYTICS-INSTALLATION-ID: 825d96c4cb26458fa626c0d0f8b7d497
Host: settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

Bei einem Absturz wird die VPN-App dann einen Absturzbericht an CrashLytics senden. Die Frage ist nur wie viele sensible Informationen ein solcher Absturzbericht enthält und welch IP-Adresse dabei übermittelt wird. Eure Anschluss-IP oder die VPN-IP-Adresse?

[5] Ebenfalls integriert ist der Google-Tracker »app-measurement.com«, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

GET /config/app/1%3A633937303339%3Aandroid%3A43bb58b9dd276570?app_instance_id=4cd53516e2b6d386b0d67f7574189dbf&platform=android&gmp_version=14799 HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

Danach beende ich die App direkt – das genügt als Eindruck völlig. Die oben dargestellte Datenübermittlung findet übrigens noch vor der Einwilligung in die Datenschutzerklärung statt. Überrascht hat mich allerdings, dass in der Datenschutzerklärung tatsächlich alle Drittanbieter (ab »Analytics and Crash Reporting«) genannt werden, die Avast in seine Apps verbaut. Persönlich kann ich allerdings nicht nachvollziehen, wie man so viele Tracker in seine Apps verbauen kann und dann noch ernsthaft mit Privatsphäre und Sicherheit werben kann – das ist nach meiner Auffassung blanker Hohn.

Persönlich würde ich die VPN-App direkt vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO auffordern – auch bei den Drittanbietern. Mit Blick auf die Datenschutzerklärung gilt dies übrigens nicht ausschließlich für die VPN-App, sondern auch für viele weitere Apps von Avast:

  • Mobile Security (Avast Antivirus)
  • AntiVirus Free (AVG Antivirus)
  • Cleanup (Avast Cleaner)
  • CCleaner Android (Piriform CCleaner)
  • Battery Saver (Avast Battery Saver)
  • […]

Es ist schon paradox: Einerseits wirbt Avast damit, die Privatsphäre der Nutzer zu schützen, lässt sie dann allerdings über integrierte Tracking-Anbieter selbst ausspionieren. Weiterhin offenbart die massenhafte Integration von Drittanbietern bzw. Bibliotheken wenig Sinn bzw. Gespür für IT-Sicherheit. Von einem Anbieter von »Sicherheitssoftware« hätte ich mir diesbezüglich deutlich mehr erwartet.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Du kannst den Blog aktiv unterstützen! Mitmachen ➡