Öffi: Standortabfrage via Google-Standortdienst

Im Rahmen der App-Review-Week prüfe ich am letzten Tag die Android-App Öffi (Version 10.5.3-aosp) – eine App, die für die öffentlichen Verkehrsmittel, die Abfahrtzeiten von Bus und Bahn anzeigt. Beginnen wir mit den Netzwerkverbindungen, die Öffi während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start kontaktiert die App den Server des Entwicklers [oeffi.schildbach.de], um eine Text-Datei abzufragen. Gleichzeitig wird die Android-SDK-Version und der Ursprung der Anfrage (stations = Öffi Haltestellen) übermittelt:

GET /messages/messages-aosp.txt?installer=com.google.android.packageinstaller&sdk=28&task=stations HTTP/1.1
Host: oeffi.schildbach.de
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.1

Festlegen einer Region

[1] Nach Auswahl der Region bzw. Verkehrsverbund (KVV) lädt Öffi eine komprimierte Datenbank (kvv.db.bz2) vom Server des Entwicklers herunter [oeffi.schildbach.de]:

GET /stations/kvv.db.bz2 HTTP/1.1
Host: oeffi.schildbach.de
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.1

[2] Unmittelbar danach erbittet Öffi den Zugriff auf den Standort. Sobald die Freigabe dazu erteilt ist, kontaktiert die App den Standortdienst von Google, um den genauen bzw. ungefähren Standort zu ermitteln. Da GPS nicht zur Verfügung stand, erfolgte die Standortermittlung anhand von Geodatenbanken, die bspw. auf der Grundlage von WLAN-Karten oder dem aktuellen Abstand zu bestimmten Mobilfunkmasten basieren [www.google.com]:

POST /loc/m/api HTTP/1.1
User-Agent: GoogleMobile/1.0
Content-Type: application/binary
Host: www.google.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 271

[zusätzlich verschlüsselte Informationen]

Nutzung der App

Die nachfolgende Kommunikation erfolgt fast ausschließlich über die API-Schnittstelle des Karlsruher Verkehrsverbunds bzw. dem Server »projekte.kvv-efa.de«. Das beinhaltet die Anzeige von Verbindungen, Umstiegsmöglichkeiten, Anschlussbahnen etc.

Je nach Haltestellen-Auswahl bzw. in unregelmäßigen Abständen werden ebenfalls Pakete an den Google-Standortdienst gesendet.

Kurzcheck der Datenschutzerklärung

Die Datenschutzerklärung von Öffi ist relativ kurz. Im Grunde wird nur erklärt, wofür die Berechtigungen notwendig sind, die die App anfragt. Etwas mehr Hintergrundinformationen wären durchaus wünschenswert. Unter anderem, wie die Standortbestimmung erfolgt bzw. welche Dienste dafür eingesetzt werden.

Fazit

Insgesamt gibt es an Öffi wenig zu beanstanden – außer vielleicht die Standortbestimmung über den Google-Standortdienst. Hier könnte der Entwickler für mehr Transparenz sorgen und darüber bspw. in der Datenschutzerklärung aufklären. Zu ergänzen ist noch: Der Test erfolgte auf einem Gerät mit GAPPS – sofern die GAPPS nicht installiert sind, erfolgt die Standortbestimmung womöglich nicht über Google, sondern allein aufgrund von GPS-Informationen.

---

Ähnliche Beiträge

24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.

11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.

9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.

11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?

16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.