Öffi: Standortabfrage via Google-Standortdienst
Im Rahmen der App-Review-Week prüfe ich am letzten Tag die Android-App Öffi (Version 10.5.3-aosp) – eine App, die für die öffentlichen Verkehrsmittel, die Abfahrtzeiten von Bus und Bahn anzeigt. Beginnen wir mit den Netzwerkverbindungen, die Öffi während der Nutzung aufbaut.
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start kontaktiert die App den Server des Entwicklers [oeffi.schildbach.de], um eine Text-Datei abzufragen. Gleichzeitig wird die Android-SDK-Version und der Ursprung der Anfrage (stations = Öffi Haltestellen) übermittelt:
GET /messages/messages-aosp.txt?installer=com.google.android.packageinstaller&sdk=28&task=stations HTTP/1.1 Host: oeffi.schildbach.de Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.12.1
Festlegen einer Region
[1] Nach Auswahl der Region bzw. Verkehrsverbund (KVV) lädt Öffi eine komprimierte Datenbank (kvv.db.bz2) vom Server des Entwicklers herunter [oeffi.schildbach.de]:
GET /stations/kvv.db.bz2 HTTP/1.1 Host: oeffi.schildbach.de Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.12.1
[2] Unmittelbar danach erbittet Öffi den Zugriff auf den Standort. Sobald die Freigabe dazu erteilt ist, kontaktiert die App den Standortdienst von Google, um den genauen bzw. ungefähren Standort zu ermitteln. Da GPS nicht zur Verfügung stand, erfolgte die Standortermittlung anhand von Geodatenbanken, die bspw. auf der Grundlage von WLAN-Karten oder dem aktuellen Abstand zu bestimmten Mobilfunkmasten basieren [www.google.com]:
POST /loc/m/api HTTP/1.1 User-Agent: GoogleMobile/1.0 Content-Type: application/binary Host: www.google.com Connection: close Accept-Encoding: gzip, deflate Content-Length: 271 [zusätzlich verschlüsselte Informationen]
Nutzung der App
Die nachfolgende Kommunikation erfolgt fast ausschließlich über die API-Schnittstelle des Karlsruher Verkehrsverbunds bzw. dem Server »projekte.kvv-efa.de«. Das beinhaltet die Anzeige von Verbindungen, Umstiegsmöglichkeiten, Anschlussbahnen etc.
Je nach Haltestellen-Auswahl bzw. in unregelmäßigen Abständen werden ebenfalls Pakete an den Google-Standortdienst gesendet.
Kurzcheck der Datenschutzerklärung
Die Datenschutzerklärung von Öffi ist relativ kurz. Im Grunde wird nur erklärt, wofür die Berechtigungen notwendig sind, die die App anfragt. Etwas mehr Hintergrundinformationen wären durchaus wünschenswert. Unter anderem, wie die Standortbestimmung erfolgt bzw. welche Dienste dafür eingesetzt werden.
Fazit
Insgesamt gibt es an Öffi wenig zu beanstanden – außer vielleicht die Standortbestimmung über den Google-Standortdienst. Hier könnte der Entwickler für mehr Transparenz sorgen und darüber bspw. in der Datenschutzerklärung aufklären. Zu ergänzen ist noch: Der Test erfolgte auf einem Gerät mit GAPPS – sofern die GAPPS nicht installiert sind, erfolgt die Standortbestimmung womöglich nicht über Google, sondern allein aufgrund von GPS-Informationen.