Es ist ein schwerer Vorwurf, der da in einem aktuellen Artikel der "Financial Times" erhoben wird. Zehntausende Apps mit hunderten Millionen Nutzern würden regelmäßig sensible Nutzerdaten nach Russland schicken – wo dann potenziell auch die Regierung und deren Behörden Zugriff auf diese Informationen hätten.

Vor allem aber: Die Plattformbetreiber Apple und Google würden diesem Treiben einfach so zusehen. Das ist alles nicht unrichtig, in Wirklichkeit zeigt sich dabei aber vor allem ein seit langem bekanntes strukturelles Problem der App-Entwicklung.

Yandex

Ausgangspunkt der Diskussion ist eine Untersuchung des Forschers Zach Edwards für die Non-Profit-Organisation Me2B Alliance. Diese zeigt, dass in rund 52.000 Apps mit weltweit hunderten Millionen Nutzern ein Stück Software des IT-Riesen Yandex steckt, darunter auch Messenger und zahlreiche VPN-Apps, einige davon gezielt für ukrainische Nutzer gedacht. Darüber würde dass russische Google-Pendant allerlei private Daten sämtlicher User erhalten, so der Vorwurf.

Die Reaktion aus der Politik auf dieses Ergebnis erfolgte ebenso prompt wie erwartbar: Der demokratische US-Senator Ron Wyden forderte Apple und Google umgehend dazu auf, diesem Treiben ein Ende zu bereiten. Es könne nicht sein, dass hier einfach so zugesehen werde, während die nationale Sicherheit der USA gefährdet und die Privatsphäre nicht nur von US-Amerikanern, sondern vielen anderen Smartphone-Nutzern auf der Welt unterwandert werde.

Realitätscheck

Das ist allerdings leichter gesagt als getan, geht es hier doch um ein sogenanntes Software Development Kit (SDK), wie es zahlreiche andere gibt. Solche SDKs liefern für App-Entwickler Bausteine, mit denen sie gewisse Funktionen direkt in ihre Apps übernehmen können, anstatt sie komplett neu schreiben zu müssen.

Im konkreten Fall heißt diese Stück Software AppMetrica und ist dazu gedacht, Nutzungsdaten für Analyse- und Werbezwecke zu sammeln. Auch das ist nicht ungewöhnlich, Google selbst etwa bietet ähnliche Tools an, die in einer noch erheblich größeren Zahl von Apps zum Einsatz kommen.

Die Brisanz der aktuellen Diskussion ergibt sich vor allem aus dem Ukraine-Krieg und dem damit gewachsenen Misstrauen gegenüber Russland. Immerhin besteht so die Befürchtung eines weitreichenden Missbrauchs dieser Daten durch einen feindlich gesinnten Staat.

Widerspruch

Yandex wehrt sich nachdrücklich gegen diesen Vorwurf. Man gebe generell Nutzerdaten nur im Einzelfall und nach einer strikten internen Prüfung weiter. Zudem seien die von AppMetrica eingesammelten Daten recht harmlos, darunter etwa die IP-Adresse eines Geräts, Details zum genutzten Netzwerk oder auch Geräteinfos. Darüber sei niemand eindeutig identifizierbar.

Eine Aussage, der Experten aber nur sehr bedingt zustimmen würden. Sicherheitsforscher warnen seit Jahren davor, dass genau solche Daten eine recht exakte Zuordnung zu einer Person zulassen – wenn auch nicht unbedingt zu deren echter Identität. Genau das ist ja auch der Sinn solcher Tools, etwa um zu sehen, ob der Besuch einer Webseite zu einem Kauf eines gewissen Produkts geführt hat.

Reaktion

Bei Apple sieht man angesichts des Berichts jedenfalls keinen Handlungsbedarf. Die Daten würden ohnehin erst nach einer expliziten Zustimmung durch die Nutzer eingesammelt. Diesen Aspekt betont auch Yandex, wo man darauf verweist, dass die Nutzungsbedingungen von AppMetrica App-Entwickler dazu verpflichten, die User über die Datensammlung zu informieren.

Etwas differenzierter fällt die Antwort von Google aus. Dort gesteht man ein, dass es in Fragen der Transparenz noch Nachbesserungsbedarf gibt, also vor allem um den Nutzern offenzulegen, welche SDKs von welcher Apps verwendet werden. Man habe aufgrund der Ergebnisse eine interne Untersuchung eingeleitet.

Hintergrund

Die oft unüberlegte Nutzung solcher Entwicklungskits ist in der jüngeren Vergangenheit immer öfter in die Kritik gekommen – eben weil den Usern bei der Nutzung von Apps oft nicht klar ist, dass sie damit die Zustimmung geben, ihre Daten an allerlei andere Unternehmen weiterzugeben.

Besonders problematisch ist dabei, dass diese SDKs automatisch die Berechtigungen des Hauptprogramms erben, wer etwa seinen Standort mit einer App teilt, gibt damit diesen – potentiell- auch an die SDK-Entwickler weiter. Das ist auch kein rein theoretisches Problem, so gibt es etwa eine Reihe an auf Standortdaten spezialisierte Firmen, die ihre Informationen über vermeintlich harmlose Apps einsammeln, und dann gewinnbringend an Behörden und Unternehmen weiterverkaufen.

Reaktionen

Sowohl Apple als auch Google haben in den vergangenen Jahre die SDKs mehrerer dieser Unternehmen für Apps in ihren Stores verboten, gleichzeitig ist eine Datenweitergabe natürlich nur schwer lückenlos zu verhindern. Bei Google sollen zudem ab dem kommenden Android 13 die Möglichkeiten solcher Entwicklungskits nach und nach beschränkt werden. So soll es langfristig nur mehr einen Zugriff über fix definierte Schnittstellen geben, der noch dazu offengelegt werden muss.

Rauswurf

Im aktuellen Fall ist aber klar, dass die Forscher nicht die Einzigen sind, die den Aussagen von Yandex nur begrenzt vertrauen. So hat der Browserhersteller Opera bereits in den vergangenen Wochen das betreffende SDK aus seiner Software entfernt und ist auf eine eigene Werbeplattform gewechselt. Auch der Spielehersteller Gismart hat AppMetrica nach eigenen Angaben mittlerweile aus dutzenden Games entfernt. Infolge des Angriffskriegs habe man sich bewusst dazu entschieden, generell alle russischen Services aus den eigenen Programmen zu streichen, heißt es da. (Andreas Proschofsky, 29.3.2022)