Mike Kuketz
31. Januar 2019 | 09:27 Uhr

AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich groß geschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.

Hinweis

Übersicht bisheriger Stichproben:

Die Android-App von AVG Secure VPN (v. 1.6.2316) beinhaltet 7 Tracker:

  • AppsFlyer
  • Facebook Login
  • Facebook Places
  • Facebook Share
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google Advertising ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: com.avg.android.vpn
    • Versionsnummer der App: 1.6.2316
    • Android-Versionsnummer: 7.1.2
    • Gerätemodell: Redmi Note 4
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint zu AVG noch nicht durchgedrungen zu sein – einfach unverantwortlich.

[2] An die Analysefirma AppsFlyer (Firmensitz San Francisco, USA) werden eine ganze Reihe von Informationen übermittelt:

POST /api/v4/androidevent?buildnumber=4.8.18&app_id=com.avg.android.vpn HTTP/1.1
Content-Length: 2497
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: t.appsflyer.com
Connection: close
Accept-Encoding: gzip, deflate

{"device":"mido","firstLaunchDate":"2019-01-31_072102+0000","installDate":"2019-01-31_071920+0000","sdk":"25","referrer":"utm_source=google-play&utm_medium=organic","carrier":"","batteryLevel":"95.0","date1":"2019-01-31_071920+0000","cksm_v1":"276022a437c2959fef2212b17103ff4e8f","af_preinstalled":"false","advertiserIdEnabled":"true","iaecounter":"0","appsflyerKey":"wZcqnM6Vz7bNyBzNMiqPXU","lang_code":"de","ivc":false,"registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"1.6.2316","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"95.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[0.0027160645,0.0014038086,-0.0040893555],"sVS":[-0.0036773682,-0.003921509,0.0023040771],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.87519836,1.7021332,9.710648],"sVS":[-0.84407043,1.6877594,9.535873],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[0.0027160645,0.0014038086,-0.0040893555],"sVS":[-0.0036773682,-0.003921509,0.0023040771],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[50.317383,3.855896,-33.328247],"sVS":[50.016785,4.0267944,-36.029053],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[50.317383,3.855896,-33.328247],"sVS":[50.016785,4.0267944,-36.029053],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.87519836,1.7021332,9.710648],"sVS":[-0.84407043,1.6877594,9.535873],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"appUserId":"2d9c8a26-9afe-42f4-88e6-91aab0936523","af_v2":"1c8bae2635443f1c5dd460d71ee703b21caa2d41","deviceType":"user","af_v":"f002d0f8a67c0f0076bc2ec1480f8220fd99347c","app_version_code":"1002316","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","kef4169":"ba01c1ca1db283224819181b0c531a0d591f1a0d5a1f19","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"1548919154","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-31_071920+0000","brand":"Xiaomi","af_timestamp":"1548919261597","uid":"1548919260968-8600326566978578185","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}

Also Informationen wie:

  • Gerät bzw. Hersteller
  • Batterieladezustand
  • Google Advertising-ID
  • Gyro-Sensor-Daten
  • Bildschirmgröße
  • LineageOS Build-Version
  • Konnektivität (WLAN)
  • Mobilfunkanbieter (UnityMedia)
  • […]

[3] Unmittelbar nach dem Start der App kontaktiert die App den hauseigenen Analysedienst des VPN-Anbieters. Unter anderem werden folgende Informationen übermittelt [analytics.ff.avast.com]:

  • Gerät: Xiaomi
  • Android-Version: 7.1.2
  • Installationsquelle: Google Play Store
  • Abomodell: TestFreemium
  • Paketname: com.avast.android.vpn
  • Versionsnummer der App: 5.4.10305
  • […]

Die Adresse *.avast.com ist übrigens korrekt. AVG wurde 2016 von Avast übernommen.

[4] Zur Analyse von Abstürzen hat AVG CrashLytics integriert, um Google mit noch mehr Daten zu versorgen, als sie eigentlich schon haben:

GET /spi/v2/platforms/android/apps/com.avg.android.vpn/settings?icon_hash=9abf372533d74178bd0b570a25fddbe70ccc63ae&display_version=1.6.2316&source=4&instance=d8101b3c218e47383768ad180e287911cbd74eb9&build_version=1002316 HTTP/1.1
User-Agent: Crashlytics Android SDK/1.4.4.27
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-API-KEY: 8b94355ff161c5ea345c0acdee83f64992e9e5a9
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-API-CLIENT-VERSION: 1.4.4.27
Accept: application/json
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
X-CRASHLYTICS-INSTALLATION-ID: 53f3ef1252994442bfcae9152e108eba
Host: settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

Bei einem Absturz wird die VPN-App dann einen Absturzbericht an CrashLytics senden. Die Frage ist nur wie viele sensible Informationen ein solcher Absturzbericht enthält und welche IP-Adresse dabei übermittelt wird. Eure Anschluss-IP oder die VPN-IP-Adresse?

[5] Ebenfalls integriert ist der Google-Tracker »app-measurement.com«, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

GET /config/app/1%3A633937303339%3Aandroid%3A43bb58b9dd276570?app_instance_id=4cd53516e2b6d386b0d67f7574189dbf&platform=android&gmp_version=14799 HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

Im Grunde sind SecureLine (Avast) und Secure VPN (AVG) nahezu identisch: Sie übermitteln diverse Daten an Drittanbieter wie Facebook, werben aber gleichzeitig mit dem Schutz der Privatsphäre. Das ist nicht nur lächerlich, sondern nach meiner Auffassung blanker Hohn.

Auch bei dieser App offenbart die Avast-Gruppe, durch die massenhafte Integration von Drittanbietern bzw. Bibliotheken, ihr fehlendes Gespür für IT-Sicherheit und Privatspähre. Von einem Anbieter von »Sicherheitssoftware« hätte ich mir diesbezüglich deutlich mehr erwartet.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Microblog
29. Januar 2019

Avast SecureLine VPN: 14 Tracker in einer App!

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter…
Microblog
27. Januar 2019

CyberGhost VPN: Android-App verseucht mit Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter…
Microblog
21. Januar 2019

Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter

Viele Nutzer schwören auf VPN-Dienstleister, um bspw. ihre Privatsphäre im Internet zu schützen oder Geo-Sperren zu umgehen. Ich warne schon…
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Chrome
16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.