Gesundheits-App Vivy: Auch neue Version kontaktiert Tracker
Diverse Leser haben mir mitgeteilt, dass der Nutzer nun selbst darüber entscheiden kann, ob er seine Daten mit den Tracking-Diensleistern teilt, die Vivy innerhalb der App integriert hat.
Vivy teilt diversen Nutzern im Google Play Store mit:
Hallo XY, lade dir doch bitte das neuste Update. Denn ab sofort kannst du selber entscheiden ob du Daten zur Nutzung teilen willst oder nicht.
Auch unter neue Funktionen steht:
[…]
Wenn du die App das nächste Mal öffnest, fragen wir dich ob du uns App Aktivität und App Absturz Daten teilst. Damit hilfst du unserem Team, die App zu verbessern. Natürlich verwenden wir dafür keine persönlichen oder Gesundheitsdaten. Standardmäßig ist diese Analyse deaktiviert – wir machen das nur, wenn du explizit einwilligst.
Schauen wir uns die aktuelle Version der Vivy-Gesundheits-App (1.17) doch mal an. Zunächst fällt auf, dass Vivy für die Verbindungen zu *.vivy.com Certificate-Pinning nachgerüstet hat – was sich allerdings aushebeln lässt. Wäre doch schade, wenn wir in die Verbindungen nicht mehr reinschauen könnten…
[1] Unmittelbar nach dem Start der App kontaktiert die App weiterhin die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:
- Android-Versionsnummer: 7.1.2
- Hersteller und Modell: Xiaomi | Redmi Note 4
- Ob die Google Play Services installiert sind
- Displayauflösung: 1920×1080
- App-Versionsnummer: 1.17
- Ob ein NFC-Chip verbaut ist
- Ob WiFi / Bluetooth verfügbar ist
- Welcher Mobilfunkanbieter (Vodafone)
- distinct_id=0f37cbe05273d8d90979e2d6b980e0e4
- […]
Erst nach der Account-Verknüpfung bzw. Neu-Registrierung erscheint ein Hinweisfenster:
App Nutzungsdaten
Indem Du die App Aktivität und App Absturz Daten teilst, hilfst Du unseren Entwicklern die App zu verbessern.
Nutzungsdaten teilen [Auswahl]
Nutzugnsdaten nicht teilen [Auswahl]
Trotz der Ankündigung
Standardmäßig ist diese Analyse deaktiviert – wir machen das nur, wenn du explizit einwilligst.
wird also weiterhin zumindest ein Tracking-Dienst direkt beim Start der App kontaktiert.
Dieser »Fehler« zeigt mir erneut: Fremde Tracking-Bibliotheken dürfen in einen sensiblen App-Kontext nicht eingebunden werden.
Gesundheits-Apps auf dem Smartphone werden für mich erst dann interessant, wenn sich die Verantwortlichen an solchen Kriterien für Sicherheit und Datenschutz orientieren – also wenn die Hölle zufriert. ;-)
Hinweis
Sowohl der Analysedienst Crashlytics (Firmensitz Boston, USA), als auch Branch.io (Firmensitz Redwood City, USA) und der Google-Tracker »app-measurement.com« werden nicht mehr kontaktiert – zumindest nicht wie beim Start der App, wie noch bei Version 1.16.
Gesundheits-App Vivy: Datenschutz-Bruchlandung
Gesundheits-App docdirekt: Weitere Datenschutz-Bruchlandung
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Die Akte Vivy: Nicht nur Datenschutz-Bruchlandung sondern auch Sicherheitsdesaster