ProtonVPN: Google CrashLytics mit an Bord

Vorgeschichte: Bei einer Stichprobe habe ich festgestellt, dass die NordVPN-App, bei der Registrierung eines Kontos, die E-Mail-Adresse an den Drittanbieter Iterable Inc. übermittelt. Der Nutzer wird über diese Verwendung seiner personenbezogenen Daten in der Datenschutzerklärung nicht informiert. Gerade im sensiblen VPN-Umfeld, bei dem Privatsphäre eigentlich großgeschrieben werden sollte, halte ich solch eine Praxis für äußerst fragwürdig. Die kommenden Tage werde ich daher weitere Apps von VPN-Anbietern einer kurzen Stichprobe unterziehen.

Die Android-App von ProtonVPN (v. 1.3.5) beinhaltet einen Tracker:

  • Google CrashLytics

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Zur Analyse von Abstürzen hat ProtonVPN CrashLytics von Google integriert:

GET /spi/v2/platforms/android/apps/com.protonvpn.android/settings?icon_hash=9abf372533d74178bd0b570a25fddbe70ccc63ae&display_version=1.3.5&source=4&instance=d8101b3c218e47383768ad180e287911cbd74eb9&build_version=1002316 HTTP/1.1
User-Agent: Crashlytics Android SDK/1.4.4.27
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-API-KEY: 8b94355ff161c5ea345c0acdee83f64992e9e5a9
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-API-CLIENT-VERSION: 1.4.4.27
Accept: application/json
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
X-CRASHLYTICS-INSTALLATION-ID: 53f3ef1252994442bfcae9152e108eba
Host: settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

Bei einem Absturz wird die VPN-App dann einen Absturzbericht an CrashLytics senden. Die Frage ist nur, wie viele sensible Informationen ein solcher Absturzbericht enthält und welche IP-Adresse dabei übermittelt wird. Eure Anschluss-IP oder die VPN-IP-Adresse? Die Frage ist berechtigt, denn das Analyse-SDK Glassbox erfasst unter anderem sogar den Bildschirminhalt einer App. Darin können sich sensible Informationen befinden, die sowohl den Anbieter als auch den Drittanbieter Glassbox nichts angehen. Ich kann mich an dieser Stelle nur zum x-ten Mal wiederholen: Drittanbieter wie Tracker, Analyse-Dienste, Absturz-Melder etc. haben in Apps, die mit Privatsphäre und Sicherheit werben, nichts verloren.

Vor ein paar Tagen hat ProtonVPN auf Mastodon bekannt gegeben:

#HelloWorld! The Swiss no-log VPN has officially joined the open source, federated social media network. As an organization focused on giving people greater control of their data, we wanted to join a social media network that respects this. We’ll be sharing toots about service updates, new VPN projects, and news on privacy.

Als Reaktion auf diesen Mastodon-Toot hat mich dann folgende Meldung erreicht:

@protonvpn @kuketzblog is that one of the apps you found trackers in?

Meine Reaktion:

@zalandocalrissian @protonvpn ProtonVPN on Android is using Google CrashLytics. I don’t trust these Third-Party-Services. Why?

RT: http://theappanalyst.com/aircanada.html

Die Antwort vom Fragesteller:

@kuketzblog @protonvpn because their above post advertises the service as a „no log vpn“

Meine Reaktion darauf:

@zalandocalrissian @protonvpn Well this may be true for the VPN-service itself – but not the App. If you integrate third-party-analysis then this is some kind of „logging“.

Danach hat sich ProtonVPN zu Wort gemeldet:

@kuketzblog @zalandocalrissian Hello! We used crashlytics for crash reporting before it was acquired by Google. We are removing it in the next Android release.

CrashLytics wurde bereits im Januar 2017 von Google gekauft – also vor zwei Jahren. ProtonVPN wurde allerdings erst am 20. Juni 2017 gestartet. Finde den Fehler…

Was auch immer die Beweggründe sind, die dazu geführt haben, CrashLytics demnächst zu entfernen – es ist die richtige Entscheidung.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Hilf mit die Spendenziele zu erreichen! Mitmachen ➡