CyberGhost VPN: Android-App verseucht mit Trackern

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich groß geschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.

Die Android-App von CyberGhost VPN (v. 7.0.4.121.4062) beinhaltet zahlreiche Tracker:

  • AppsFlyer
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Mixpanel

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:

  • Android-Versionsnummer: 7.1.2
  • Hersteller und Modell: Xiaomi | Redmi Note 4
  • Ob die Google Play Services installiert sind
  • Displayauflösung: 1920×1080
  • App-Versionsnummer: 7.0.4.121.4062
  • Ob ein NFC-Chip verbaut ist
  • Ob WiFi / Bluetooth verfügbar ist
  • Welcher Mobilfunkanbieter (Vodafone)
  • distinct_id=c4d07de5-2fed-4d90-a953-10e5a8b872fe
  • […]

Während der App-Nutzung werden diese Daten kontinuierlich erhoben und mit weiteren Informationen verknüpft. Bspw. in welcher Ansicht der Nutzer sich gerade befindet.

[2] Auch direkt nach dem App-Start kontaktiert die App die Analysefirma Instabug (Firmensitz Kairo, Ägypten). Unter anderem werden folgende Informationen übermittelt [api.instabug.com]:

  • Application Token: ac7d1c5c2b891e2f1f60b432f63a1778
  • Eindeutige Identifikationsnummer: 51c2cfea-b14e-4931-8fdb-fbfaf48bf6ff

Die weiteren Informationen sind zusätzlich verschlüsselt und lassen sich nicht ohne weiteren Aufwand einsehen bzw. entschlüsseln.

[3] An die Analysefirma AppsFlyer (Firmensitz San Francisco, USA) werden eine ganze Reihe von Informationen übermittelt:

POST /api/v4/androidevent?buildnumber=4.8.15&app_id=de.mobileconcepts.cyberghost HTTP/1.1
Content-Length: 2418
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: t.appsflyer.com
Connection: close
Accept-Encoding: gzip, deflate

{"device":"mido","firstLaunchDate":"2019-01-27_115651+0000","installDate":"2019-01-27_115559+0000","sdk":"25","referrer":"utm_source=google-play&utm_medium=organic","carrier":"","batteryLevel":"91.0","date1":"2019-01-27_115559+0000","cksm_v1":"5457c5c382a8d055cf60c9a568a6bfe897","tokenRefreshConfigured":false,"af_preinstalled":"false","advertiserIdEnabled":"true","af_sdks":"0000000000","iaecounter":"0","appsflyerKey":"tETrZ2iMUGU3yfTwasJ7Ya","lang_code":"de","registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"7.0.4.121.4062","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"91.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[-0.0022888184,-0.047851562,0.014755249],"sVS":[0.06163025,-0.05105591,-0.026779175],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.42268372,7.0005035,6.8663483],"sVS":[-0.54000854,6.6724854,7.4217987],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[-0.0022888184,-0.047851562,0.014755249],"sVS":[0.06163025,-0.05105591,-0.026779175],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[49.116516,-19.18335,-34.228516],"sVS":[50.016785,-21.954346,-32.42798],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[49.116516,-19.18335,-34.228516],"sVS":[50.016785,-21.954346,-32.42798],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.42268372,7.0005035,6.8663483],"sVS":[-0.54000854,6.6724854,7.4217987],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"af_v2":"233f26a7fcb459c3f90a4cb59df171516238f5c1","deviceType":"user","af_v":"2a169d01e47fc08dd920470ed0517be3520f85a2","app_version_code":"121","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"0","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-27_115559+0000","brand":"Xiaomi","af_timestamp":"1548590207843","uid":"1548590207427-6029184139657317123","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}

Also Informationen wie:

  • Gerät bzw. Hersteller
  • Batterieladezustand
  • Google Advertising-ID
  • Gyro-Sensor-Daten
  • Bildschirmgröße
  • LineageOS Build-Version
  • Konnektivität (WLAN)
  • Mobilfunkanbieter (UnityMedia)
  • […]

In der Datenschutzerklärung finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden – lediglich Mixpanel wird kurz angeschnitten. CyberGhost bietet keine Option, die Datenübermittlung an die integrierten Tracker zu deaktivieren.

Persönlich würde ich die CyberGhost VPN-App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Es ist schon paradox: Einerseits werben die VPN-Anbieter (auch CyberGhost) damit, die Privatsphäre der Nutzer zu schützen, lassen sie dann allerdings über integrierte Tracking-Anbieter selbst ausspionieren. Die CyberGhost-Werbeversprechen wie

Wir verfolgen keine Nutzer-Webaktivitäten.

oder

Wir sammeln und speichern keine Daten.

oder

Du surfst augenblicklich unerkannt. Kein ISP, keine Website und keine Regierung kann deine digitalen Spuren aufnehmen!

und

Tracking verhindern: Genieße Online-Surfen ohne Angst vor Hackern, Massenüberwachung und Aufzeichnung deiner Netz-Gewohnheiten.

bekommen angesichts der intergrierten Tracker einen ganz neuen Anstrich.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡