Mike Kuketz
30. März 2020 | 20:55 Uhr

Houseparty: Eine Party ohne den Datenschutz

Da sich zahlreiche Leser einen Test der Android-App Houseparty (Version 1.34.0) wünschen, habe ich sie einem Kurzcheck unterzogen – eine App, mit der sich jetzt gerade viele Menschen während der Corona-Krise miteinander (per Video) verbinden.

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google-Advertising-ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: com.herzick.houseparty
    • Versionsnummer der App: 1.34.0
    • Android-Versionsnummer: 9
    • Gerätemodell: Mi A1
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920
    • Mobilfunkanbieter: Unitymedia
    • IP-Adresse

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich. Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzerin und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebook-App (sofern installiert) liest die Google-Advertising-ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können.

Sobald die App geöffnet wird, übermittele sie den Zeitpunkt an Facebook mitsamt Modellinformationen über das verwendete Gerät, den Namen des Mobilfunkanbieters, die Google-Advertising-ID des Geräts sowie die anhand der IP-Adresse ermittelte Zeitzone.

[2] Über Sign Up lege ich mir anschließend ein Konto an. Noch während ich die Felder

  • E-Mail-Adresse
  • Name
  • Username
  • Passwort
  • Geburtsdatum

ausfülle, wird die E-Mail-Adresse und auch der Username an die Houseparty-Server [*.secrethouse.party] übermittelt. Vermutlich um zu prüfen, ob ein entsprechendes Konto schon existiert. Nach dem Absenden des Formulars werden alle Informationen übermittelt – aber nicht nur diese, sondern ebenfalls eine Liste von allen Apps, die auf dem Gerät installiert sind:

[…] 10172org.adaway, 10039#com.guoshi.httpcanary.premium, 10174com.ttxapps.wifiadb, 10193org.fdroid.fdroid, 10117com.termux.widget, 10015com.nextcloud.talk2 […]

Also bspw.:

  • AdAway
  • HTTPCanary
  • WIFIadb
  • F-Droid
  • Termux
  • Nextcloud Talk
  • […]

Als Nächstes soll ich eine Telefonnummer angeben, um sicherzustellen, dass es sich um eine natürliche Person und keinen Bot handelt – so jedenfalls steht es in der Aufforderung unter »Find Your Friends»:

Please verify your phone number so we know you are a real person.

Wenn ihr mich fragt: Das ist reine Datensammelei. Es würde auch ausreichen, dass das Konto über die angegebene E-Mail-Adresse bestätigt wird. Meine »Freunde« kann ich auch noch später finden, daher tippe ich rechts oben auf Skip.

Hmmm… und schon wieder soll ich meine Freunde finden. Diesmal über Connect Contacts – ich soll der App Houseparty also Zugriff auf das lokale Adressbuch des Geräts gewähren. Machen wir! Das Adressbuch wird anschließend ausgelesen und alle Vor- und Nachnamen inkl. die dazugehörige Telefonnummer übermittelt:

POST /me/contacts HTTP/1.1
Authorization: Bearer uDmTJDiXjXcpNztkIKFqs9bMpBc46prX5PNRTb8SNQV8xKF8aXc8leQUbr5AIgTH
Accept: application/x-protobuf
X-Client-MarketingVersion: 1.34.0
X-Client-Version: 4832
X-Os-Type: android
X-Os-Version: 9
X-Client-Identifier: com.herzick.houseparty
X-Api-Version: 3
X-Sequence-Id: 15
X-User-Session-Id: 1585593080806
Cache-Control: no-cache
Content-Type: application/x-protobuf
Content-Length: 27
Host: api2-prod-alb.secrethouse.party
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.11.0

+4972420190666 Heinz Herrmann
[...]

Anschließend werde ich aufgefordert via Connect Facebook eine Verbindung zu meinen Freunden auf Facebook herzustellen, die Houseparty bereits nutzen. Ich passe und tippe rechts oben auf Skip. Facebook bekommt übrigens immer mit wo ich mich gerade innerhalb der App befinde. Die Daten werden kontinuierlich an graph.facebook.com übermittelt.

An dieser Stelle höre ich auf – ein Blick in die Datenschutzerklärung sollte genügen, um »Nein Danke« zu sagen.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
First Party Isolation
10. April 2018

Firefox: First Party Isolation – Firefox-Kompendium Teil4

Über First Party Isolation lässt sich das seitenübergreifende Tracking via (Ever-)Cookies in Firefox verhindern.
Tracking in Apps
3. März 2021

Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet

Die Integration von App-Tracking wird von Entwicklern bzw. Verantwortlichen vehement verteidigt, obwohl es ein Risiko für die Daten der Nutzer darstellt.
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Facebook Blowout
4. Januar 2022

Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1

Trotz der zahlreichen Skandale ist eine effektive Regulierung von Facebook bisher ausgeblieben. Weshalb ist das so und warum wird es noch weitere Datenskandale geben?
Chrome
16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.