Mike Kuketz
15. Juli 2019 | 07:31 Uhr

Komoot: Facebook geht mit auf Tour

Die App-Review-Week startet mit der Android-App Komoot (Version 9.16.2) – eine Navi-App für Radfahrer und Wanderer. Beginnen wir mit den Netzwerkverbindungen, die Komoot während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google Advertising ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: de.komoot.android
    • Versionsnummer der App: 9.16.2
    • Android-Versionsnummer: 7.1.2
    • Gerätemodell: Redmi Note 4
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich. Allein die Übermittlung der Google Advertising ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzer und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebok-App (sofern installiert) liest die Google Advertising ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können.

Mit dem Server »graph.facebook.com« kommuniziert die App im Verlauf der App-Nutzung übrigens regelmäßig – auch wenn der Login nicht über Facebook erfolgt. Facebook erfährt also unter anderem, in welcher View (Ansicht in der App) sich der Nutzer gerade befindet.

[2] Damit die App Push-Nachrichten und ähnliches empfangen kann, registriert sie sich am Android-Cloud-to-Device-Messaging-Dienst (C2DM). Dabei übermittelt die App unter anderem folgende Informationen an Google-Server [android.clients.google.com]:

  • Versionsnummer der App: 9.16.2
  • Paketname der App: de.komoot.android
  • GCM-Version: 17785039
  • SDK: 28
  • […]

[3] Weiterhin werden noch Verbindungen zu den Google-Hosts »firebaseremoteconfig.googleapis.com« und »playatoms-pa.googleapis.com« initiiert. Aufgrund einer zusätzlichen Verschlüsselung ist der eigentliche Nutzinhalt allerdings nicht einsehbar.

Registrierung: Anmeldung via E-Mail-Adresse

[1] Bei der Registrierung / Anmeldung an Komoot wird die E-Mail-Adresse und auch das gewählte Passwort an den Anbieter übermittelt. Das ist auch nicht zwangsläufig zu beanstanden – der Vollständigkeit halber wird es dennoch dokumentiert:

POST /v007/users/ HTTP/1.1
Accept: application/hal+json
Accept-Language: de
Accept-Encoding: gzip, deflate
User-Agent: de.komoot.android/9.16.2 build/6298 android/9 locale/de-DE (Mi A1)
Content-Type: application/json; charset=utf-8
Content-Length: 140
Host: api.komoot.de
Connection: close

{"email":"test@gmail.com",
"password":"passwort",
"display_name":"Egon Hurz",
"metric":true,
"newsletter":false,
"locale":"de_DE"}

Als Antwort darauf bekommt der Nutzer unter anderem einen username zugewiesen:

{"username":"885660433864",
"email":"test@gmail.com",
"display_name":"Egon Hurz",
"newsletter":false,[...]

Einrichtung der App: Freigabe GPS | Angabe Lieblingssportarten

[1] Noch bevor die Freigabe auf die Berechtigung »Standort« erteilt wurde, ermittelt die App anhand der IP-Adresse bzw. benachbarten WLAN-Netzwerknamen den ungefähren Standort des Nutzers. Am Antwortpaket können wir erkennen, dass das relativ genau funktioniert:

{"ip":"93.208.241.107",
"countryCode":"DE",
"countryName":"Deutschland",
"regionCode":"BW",
"regionName":"Baden-Württemberg",
"zipcode":"76137",
"timeZone":"Europe/Berlin",
"city":"Karlsruhe",
"lat":49.0019,
"lon":8.4287}

[2] Bevor die Lieblingssportarten gewählt werden, kontaktiert die App die Adresse »tracking.komoot.de« – der Name deutet auf Nutzer-Tracking hin. Leider sind die Inhaltsdaten zusätzlich verschlüsselt und somit nicht einsehbar. Etwas seltsam, dass ausgerechnet die Tracking-Daten zusätzlich verschlüsselt übermittelt werden, die Registrierungsdaten etc. allerdings nicht.

[3] Bei der Auswahl »Folg anderen interessanten Abenteuern« lädt die App Bildmaterial von Cloudfront-Servern [d2exd72xrrp1s7.cloudfront.net] nach.

Nutzung der App

Während der App-Nutzung besteht reger Kontakt zwischen Komoot und den Servern des Anbieters. Es wird praktisch alles übermittelt, was der Nutzer auswählt bzw. welche Wanderwege er ablaufen möchte etc. Welchen Umgang Komoot mit den übermittelten Daten pflegt, darüber sollte die Datenschutzerklärung Auskunft geben.

Kurzcheck der Datenschutzerklärung

Werfen wir noch einen Blick auf die Datenschutzerklärung. Dort steht als erster Satz:

Der Schutz deiner personenbezogenen Daten ist uns wichtig.

Tut mir leid, aber ich habe diesen Satz jetzt schon so oft gelesen, dass ich ihn nicht mehr ernst nehmen kann. Bei genauerer Analyse bzw. Betrachtung stimmt er bedauerlicherweise auch gar nicht. Auch bei Komoot ist das der Fall. Wäre dem Anbieter eure bzw. deine Privatsphäre wirklich wichtig, so würde Komoot nach meiner Auffassung auf die Facebook-Integration verzichten.

Weiter geht es unter »Prinzipien«. Dort wird folgender Spiegelstrich aufgeführt:

Du hast die Kontrolle über Informationen, die du mit komoot veröffentlichst und teilst. Bitte schau dir auch unsere Übersicht deiner Profileinstellungen an.

Das ist leider nicht korrekt, da die integrierte Facebook-SDK ohne Nachfrage Identifikationsmerkmale an Facebook übermittelt – und zwar auch dann, wenn keine Verknüpfung mit einem Facebook-Konto erfolgt.

Und noch ein Auszug von »Wie wir personenbezogene Daten nutzen und weitergeben«:

Service Anbieter: Wie nutzen ausgewählte Dienstleister, einige davon auch mit Sitz außerhalb des europäischen Wirtschaftsraums, die uns spezialisierten Dienesten zur Verfügung stellen, um unseren Service zu verbessern. Diese Dienstleister haben Zugriff auf ausgewählte Informationen über dich, aber immer nur solche Informationen, die sie zur Erfüllung ihrer Dienste benötigen.

Das halte ich für eine sehr vage Aussage. Es wäre wünschenswert, wenn Komoot die Dienstleister beim Namen nennt und verständlich formuliert, welche Informationen mit diesen Anbietern geteilt werden.

Fazit

Bei Komoot geht Facebook mit auf Wanderschaft – unabhängig davon, ob das der Nutzer nun möchte oder nicht. Persönlich scheidet die App für mich daher aus. Weiterhin stört mich die relativ vage Datenschutzerklärung – hier könnte Komoot für mehr Transparenz sorgen und den Nutzer genauer darüber aufklären, zu welchem Zweck und mit wem seine Daten geteilt bzw. verarbeitet werden. Bemerkenswert finde ich auch, dass die Tracking-Daten (tracking.komoot.de) mit einer zusätzlichen Verschlüsselung vor dem Auslesen geschützt sind – andere Informationen hingegen nicht.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Booking.com
11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.
Tracking in Apps
3. März 2021

Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet

Die Integration von App-Tracking wird von Entwicklern bzw. Verantwortlichen vehement verteidigt, obwohl es ein Risiko für die Daten der Nutzer darstellt.
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.