CyberGhost VPN: Android-App verseucht mit Trackern
Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich groß geschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.
Hinweis
Übersicht bisheriger Stichproben:- Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
- CyberGhost VPN: Android-App verseucht mit Trackern
- VyprVPN: No-Logging-Versprechen wertlos?
- Avast SecureLine VPN: 14 Tracker in einer App!
- AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern
- ProtonVPN: Google CrashLytics mit an Bord
Die Android-App von CyberGhost VPN (v. 7.0.4.121.4062) beinhaltet zahlreiche Tracker:
- AppsFlyer
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Mixpanel
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:
- Android-Versionsnummer: 7.1.2
- Hersteller und Modell: Xiaomi | Redmi Note 4
- Ob die Google Play Services installiert sind
- Displayauflösung: 1920×1080
- App-Versionsnummer: 7.0.4.121.4062
- Ob ein NFC-Chip verbaut ist
- Ob WiFi / Bluetooth verfügbar ist
- Welcher Mobilfunkanbieter (Vodafone)
- distinct_id=c4d07de5-2fed-4d90-a953-10e5a8b872fe
- […]
Während der App-Nutzung werden diese Daten kontinuierlich erhoben und mit weiteren Informationen verknüpft. Bspw. in welcher Ansicht der Nutzer sich gerade befindet.
[2] Auch direkt nach dem App-Start kontaktiert die App die Analysefirma Instabug (Firmensitz Kairo, Ägypten). Unter anderem werden folgende Informationen übermittelt [api.instabug.com]:
- Application Token: ac7d1c5c2b891e2f1f60b432f63a1778
- Eindeutige Identifikationsnummer: 51c2cfea-b14e-4931-8fdb-fbfaf48bf6ff
Die weiteren Informationen sind zusätzlich verschlüsselt und lassen sich nicht ohne weiteren Aufwand einsehen bzw. entschlüsseln.
[3] An die Analysefirma AppsFlyer (Firmensitz San Francisco, USA) werden eine ganze Reihe von Informationen übermittelt:
POST /api/v4/androidevent?buildnumber=4.8.15&app_id=de.mobileconcepts.cyberghost HTTP/1.1 Content-Length: 2418 Content-Type: application/json User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: t.appsflyer.com Connection: close Accept-Encoding: gzip, deflate {"device":"mido","firstLaunchDate":"2019-01-27_115651+0000","installDate":"2019-01-27_115559+0000","sdk":"25","referrer":"utm_source=google-play&utm_medium=organic","carrier":"","batteryLevel":"91.0","date1":"2019-01-27_115559+0000","cksm_v1":"5457c5c382a8d055cf60c9a568a6bfe897","tokenRefreshConfigured":false,"af_preinstalled":"false","advertiserIdEnabled":"true","af_sdks":"0000000000","iaecounter":"0","appsflyerKey":"tETrZ2iMUGU3yfTwasJ7Ya","lang_code":"de","registeredUninstall":false,"installer_package":"com.android.vending","app_version_name":"7.0.4.121.4062","lang":"Deutsch","timepassedsincelastlaunch":"-1","advertiserId":"c8639f11-626a-4292-9574-6a0e632e1ea3","isGaidWithGps":"true","deviceData":{"dim":{"x_px":"1080","y_px":"1920","size":"2","xdp":"397.565","d_dpi":"480","ydp":"399.737"},"btch":"usb","btl":"91.0","cpu_abi2":"","sensors":[{"sT":4,"sV":"BOSCH","sVE":[-0.0022888184,-0.047851562,0.014755249],"sVS":[0.06163025,-0.05105591,-0.026779175],"sN":"BMI160 Gyroscope -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.42268372,7.0005035,6.8663483],"sVS":[-0.54000854,6.6724854,7.4217987],"sN":"BMI160 Accelerometer -Wakeup Secondary"},{"sT":4,"sV":"BOSCH","sVE":[-0.0022888184,-0.047851562,0.014755249],"sVS":[0.06163025,-0.05105591,-0.026779175],"sN":"BMI160 Gyroscope"},{"sT":2,"sV":"Yamaha","sVE":[49.116516,-19.18335,-34.228516],"sVS":[50.016785,-21.954346,-32.42798],"sN":"YAS537 Magnetometer"},{"sT":2,"sV":"Yamaha","sVE":[49.116516,-19.18335,-34.228516],"sVS":[50.016785,-21.954346,-32.42798],"sN":"YAS537 Magnetometer -Wakeup Secondary"},{"sT":1,"sV":"BOSCH","sVE":[-0.42268372,7.0005035,6.8663483],"sVS":[-0.54000854,6.6724854,7.4217987],"sN":"BMI160 Accelerometer"}],"arch":"","build_display_id":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","cpu_abi":"arm64-v8a"},"af_v2":"233f26a7fcb459c3f90a4cb59df171516238f5c1","deviceType":"user","af_v":"2a169d01e47fc08dd920470ed0517be3520f85a2","app_version_code":"121","af_events_api":"1","deviceRm":"lineage_mido-userdebug 7.1.2 NJH47F 629863f5a9","network":"WIFI","platformextension":"android_native","operator":"Unitymedia","rfr":{"install":"0","val":"utm_source=google-play&utm_medium=organic","clk":"0","code":"0"},"country":"DE","date2":"2019-01-27_115559+0000","brand":"Xiaomi","af_timestamp":"1548590207843","uid":"1548590207427-6029184139657317123","isFirstCall":"true","counter":"1","model":"Redmi Note 4","product":"lineage_mido"}
Also Informationen wie:
- Gerät bzw. Hersteller
- Batterieladezustand
- Google Advertising-ID
- Gyro-Sensor-Daten
- Bildschirmgröße
- LineageOS Build-Version
- Konnektivität (WLAN)
- Mobilfunkanbieter (UnityMedia)
- […]
In der Datenschutzerklärung finde ich keinen Hinweis, welche Daten, wann mit welchem Drittanbieter geteilt werden – lediglich Mixpanel wird kurz angeschnitten. CyberGhost bietet keine Option, die Datenübermittlung an die integrierten Tracker zu deaktivieren.
Persönlich würde ich die CyberGhost VPN-App sofort vom Smartphone entfernen und den Anbieter um eine Datenlöschung nach der DSGVO bitten – auch bei den Drittanbietern. Es ist schon paradox: Einerseits werben die VPN-Anbieter (auch CyberGhost) damit, die Privatsphäre der Nutzer zu schützen, lassen sie dann allerdings über integrierte Tracking-Anbieter selbst ausspionieren. Die CyberGhost-Werbeversprechen wie
Wir verfolgen keine Nutzer-Webaktivitäten.
oder
Wir sammeln und speichern keine Daten.
oder
Du surfst augenblicklich unerkannt. Kein ISP, keine Website und keine Regierung kann deine digitalen Spuren aufnehmen!
und
Tracking verhindern: Genieße Online-Surfen ohne Angst vor Hackern, Massenüberwachung und Aufzeichnung deiner Netz-Gewohnheiten.
bekommen angesichts der intergrierten Tracker einen ganz neuen Anstrich.