Jetzt mit AndroidPIT und Vodafone eins von drei Huawei P8 direkt zum Verkaufsstart gewinnen

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren
Verfasst von:

N24 - kommt zur Sache, nur wie?

Verfasst von: Jörg V. — 09.08.2012

Vor einiger Zeit, genau genommen am 3.08.2012, machte mich mein Freund Andreas auf die Google + Seiten von “N24 - Wir kommen zur Sache” aufmerksam. Dies tat er hauptsächlich deswegen, weil man dort in einem Beitrag auf G+ vor einer Fake App warnte, die wohl von Dritten in den Markt gestellt wurde und die ziemlich extreme Berechtigungen forderte.

Interessanterweise teilte N24 im selben Beitrag auch mit, dass man in seiner eigenen, echten N24 App, Zitat: “nur die Zugriffsrechte auf die Telefon-ID und natürlich die Internetverbindung” anfordern würde. Hier wurde Andreas dann hellhörig und hinterfragte, wofür die IMEI denn benötigt würde. Auch ich klinkte mich in die Frage mit ein und merkte an, dass es heutzutage nicht mehr notwendig sei, die IMEI zu verwenden und es andere Methoden gäbe, die datenschutztechnisch nicht so bedenklich sind wie die IMEI.

Kurze Erklärung zur IMEI:


Die IMEI (international mobile station equipment identity) ist eine weltweit eindeutige, 15-stellige Seriennummer, anhand derer man jedes GSM- oder UMTS-Endgerät eindeutig identifizieren kann. Nährere Erklärungen dazu findet man bei Wikipedia.
Das Grundproblem mit der IMEI ist, dass sie aufgrund der engen Verbundenheit des jeweiligen Mobiledevices und seinem Eigentümer einen schützenswürdigen Datensatz darstellt und nicht ohne weiteres den Weg auf irgend welche anderen Server finden sollte, auf denen wer weiß was mit diesen Daten geschehen kann.

Letztlich, nach mehrfachen insistieren von Usern, hatte “N24 - wir kommen zur Sache” dann zugesagt, die Verwendung der IMEI aus der App zu entfernen, was ich persönlich sehr positiv betrachte, auch wenn das Verhalten der Artikelverfasser sich im Verlauf der Diskussion zunächst als eher “kindisch” darstellte.

Jedenfalls hatte ich im Rahmen des teilweise etwas merkwürdigen Diskussionsverlaufes versprochen, die App einmal unter die Lupe zu nehmen, sobald sie veröffentlicht wird. Dieses Versprechen möchte ich einlösen und habe somit die Version 1.0 der N24 App unter die Lupe genommen.


Vorgehensweise:


Installation der N24 aus dem Google Play Store
Aufruf der App nach der Installation
Beenden der App
Überprüfung des Logcat nach Beendigung der App mit Logman
Genauere, manuelle Überprüfung des Logcat
Erneuter Aufruf der App, Ausschalten der “Mobile App Senso Messung” unter “Datenschutz”
Beenden der App N24
Einbuchen des Devices ins eigene Wlan
Starten eines Wlan-Sniffer Tools (Wireshark)
Starten der App N24
Aufruf eines Artikels
Beenden der App
Auswerten des Netzwerkverkehrs mit Hilfe von Wireshark


Ergebnisse:

Das erste Ergebnis der Überprüfung des Logcat durch meine eigene App Logman war positiv und lies zunächst keinen Grund zur Beanstandung erahnen. Es werden weder IMEI, noch IMSI, Telefonnummer, Email oder Location Daten von der N24 App ins Logcat geschrieben.

Das zweite Ergebnis, die manuelle und detaillierte Überprüfung des Logcat, brachte dann allerdings weniger Schönes ans Tageslicht. Gefunden habe ich im Logcat exakt folgende Zeilen:

“08-07 22:29:51.299: I/SmartAdServer(23744): Messages posted to the server : {"connexion":"wifi","uid":"ad5266a5a5aba24","platform":"Android","lang":"de","sdkversion":"2.0","sdkname":"SDKAndroid","appname":"SNS"}

08-07 22:29:51.299: I/SmartAdServer(23744): Will load ad at URL : http://mobile.smartadserver.com/call2/pubmj/38682/262488/12626/M/1344371391298//ad5266a5a5aba24/Mozilla%2F5.0%20%28Linux%3B%20U%3B%20Android%204.0.3%3B%20de-at%3B%20GT-N7000%20Build%2FIML74K%29%20AppleWebKit%2F534.30%20%28KHTML%2C%20like%20Gecko%29%20Version%2F4.0%20Mobile%20Safari%2F534.30

Rasch habe ich dann das Device per USB-Kabel an meinen PC angeschlossen und mich mit der am PC installierten Android Debug Brigde (ADB) davon überzeugt, dass es auch wirklich die App von N24 ist, die obige Zeilen ins Logcat schrieb.
C:\users\anonym\adb shell
shell@android:/ $ ps
ps
USER PID PPID VSIZE RSS WCHAN PC NAME
.....
app_15 23724 1700 468492 34784 ffffffff 00000000 S android.process.acore
app_125 23744 1700 552572 74620 ffffffff 00000000 S de.cellular.n24hybrid
app_61 23866 1700 462520 28996 ffffffff 00000000 S com.google.android.gsf.login
shell 23883 1711 812 408 c0248490 40072ec4 S /system/bin/sh
....
Wie aus der oben jeweils fett abgedruckten Zahl “23744” der sogenannten PID klar zu erkennen ist, handelt es sich dabei eindeutig um die App N24.

Was sagen nun die beiden, oben gezeigten, Logzeilen aus?
Zum einen wird in der ersten Zeile angekündigt, dass etwas an einen Server gesendet werden soll, oder wurde, und in der zweiten Zeile wird ausgesagt, dass dies auch erfolgt ist, sowie an welchen Server. Genau genommen werden nun folgende Informationen an einen anderen Server übermittelt:

Verbindungstyp: wifi (wlan Verbindung) <- “connexion":"wifi"
eine Erkennungs ID : <- "uid":"ad5266a5a5aba24"
Die Geräte OS Plattform: <- "platform":"Android"
Die eingestellte Systemsprache: <- "lang":"de"
Die verwendete SDK Version: <- "sdkversion":"2.0"
Der SDK Name: <- "sdkname":"SDKAndroid"
Der App Name: <- "appname":"SNS"
sowie im tatsächlichen Request noch zusätzlich:

Die OS Version : Android 4.0.3
Der Geräte Typ: GT-N7000
Der Browser Typ: Mozilla 5.0
Die Sprachvariant: de-at
Die Webkit Verision: AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

Diese Informationen werden unverschlüsselt zu folgendem Server übermittelt:

http://mobile.smartadserver.com

Eine kurze Überprüfung am PC ergibt, dass dieser Server sich in Paris, Frankreich befindet:

C:\Users\anonym\>tracert mobile.smartadserver.com

Routenverfolgung zu itx5.smartadserver.com [91.103.142.194] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 192.168.1.1
2 7 ms 2 ms 1 ms 192.168.0.1
3 * 18 ms 17 ms vie-xxxxxxxxx.dsl.sil.at [xx.xx.xx.xx]
4 19 ms 17 ms 17 ms Te1-4-c2.oe6.sil.at [xx.xx.xx.xx]
5 21 ms 17 ms 38 ms 81.189.132.89
6 18 ms 19 ms 17 ms 212.152.193.90
7 16 ms 17 ms 17 ms wen3-core-1.tengigabiteth11-0.tele2.net [130.244.49.117]
8 17 ms 17 ms 18 ms wen1-core-1.pos0-0.tele2.net [130.244.205.49]
9 35 ms 34 ms 35 ms fra50-core-1.pos0-12-0-0.tele2.net [130.244.205.41]
10 31 ms 31 ms 30 ms fra36-peer-1.ae0-unit0.tele2.net [130.244.64.69]
11 30 ms 33 ms 30 ms peer-as3356.fra36.tele2.net [130.244.200.86]
12 31 ms 40 ms 31 ms vlan70.csw2.Frankfurt1.Level3.net [4.69.154.126]
13 31 ms 32 ms 32 ms ae-71-71.ebr1.Frankfurt1.Level3.net [4.69.140.5]
14 40 ms 41 ms 44 ms ae-48-48.ebr2.Paris1.Level3.net [4.69.143.146]
15 44 ms 50 ms 48 ms ae-57-222.csw2.Paris1.Level3.net [4.69.161.58]
16 40 ms 39 ms 40 ms ae-22-52.car2.Paris1.Level3.net [4.69.139.227]
17 40 ms 39 ms 41 ms SIPARTECH.car2.Paris1.Level3.net [212.73.207.246]
18 41 ms 39 ms 39 ms 91.103.138.174
19 40 ms 40 ms 40 ms 91.103.142.194

 

Eine nachfolgende Überprüfung durch eine Whois Abfrage bestätige dies dann noch explizit.

 

Soweit so schlecht, aber was ist nun das Schlimme an diesen Dingen?


Nun, zum einen wird von der N24 App hier ein Merkmal des Android Devices verwendet, welches eine einwandfrei Identifizierung dieses Devices in Netzwerken ermöglicht, und zwar der sogenannte “net.hostname” welcher die “Android Device ID” darstellt und für die gesamte Lifetime des Gerätes gültig ist.
(Siehe: http://developer.android.com/reference/android/provider/Settings.Secure.html#ANDROID_ID)
Aussage: A 64-bit number (as a hex string) that is randomly generated on the device's first boot and should remain constant for the lifetime of the device. (The value may change if a factory reset is performed on the device.)

Wir sind also auch, wenn nicht die IMEI verwendet wird, identifizierbar!

Darüber hinaus, werden diese Informationen über eine unverschlüsselte Internetverbindung, in sich UNVERSCHLÜSSELT übertragen und sind so nahezu von jedermann mit zu lesen.

Nun könnte einer sagen, OK .. das steht im Logcat, aber das heisst ja noch lange nicht, dass diese Daten auch tatsächlich übertragen werden. Um diesem Argument entgegen zu treten, habe ich den gesamten oben beschriebenen Netzwerkverkehr mit Hilfe eines Tools mitgeschnitten und analysiert. Die Daten werden demzufolge tatsächlich an den oben genannten Server in Paris/Frankreich übertragen.

Das Perfide an der hier von den Entwicklern gewählten Methode ist, dass der Standard User nun nicht wirklich etwas dagegen unternehmen kann. Zum einen handelt es sich bei der abgefragten Eigenschaft net.hostname, bzw. der Android_ID nicht um eine Eigenschaft, welche eine sogenannte Permission benötigt, noch werde ich über diesen Umstand an irgendeiner Stelle informiert.
In den online abrufbaren Datenschutzbestimmungen wird zwar auf die Verwendung eines Frameworks mit Namen: Mobile App Sensor hingewiesen, welches eine Gerätekennung verwenden soll, die gekürzt und verschlüsselt (und somit anonymisiert) übertragen wird. Ausserdem soll man sich davon per Opt-out (am Ende der Datenschutzerklärung) durch entfernen eines Hakens befreien können, jedoch betreffen diese Aussagen nach Lage der Dinge nicht die hier stattfindenden Prozesse, da trotz entfernten Haken bei mir dieser Übertragung standfindet. Das hier verwendete Framework ist im Gegensatz zu dem in der Datenschutzerklärung erwähnten, ein Werbeframework, dass Werbeeinblendungen generieren soll.

 

Die Fragen lauten also:

Warum verschweigt N24 dieses den Benutzern seiner App und weshalb werden hier unnötigerweise, so offensichtlich unsichere Technologien verwendet?

Darüber hinaus muss man sich auch die Frage stellen, warum N24 trotz der Bitten der User hier Daten an DRITTE weiterreicht, die dazu benutzt werden können das Device des Benutzers in Netzwerken zu identifizieren?

Es wäre doch so einfach diese Dinge sicherer zu machen und den Benutzer nicht unnötigen Gefahren auszusetzen.
Es würde vollauf genügen, auf eine verschlüsselte Verbindung umzustellen. Also https anstelle von http zu verwenden. Dies in Verbindung mit einem gehashtem oder verkypteten ID Wert, würde den Benutzer in keinster Weise nachhaltig gefährden. Darüber hinaus wäre es natürlich wünschenswert und rechtlich, vermutlich sogar erforderlich, den Benutzer über diese Methoden zu informieren.

Man darf gespannt sein, was N24 dazu sagen wird!

Bildquelle: Jörg Voss/N24 

75 Kommentare

Neuen Kommentar schreiben:
  • Rafael K. 18.08.2012 Link zum Kommentar

    Bitteschön :-)
    Wenn dann mal die echten Problemquellen an den Pranger kommen gibts auch von mir ein +1 ;-)

    0
  • Jörg V. 18.08.2012 Link zum Kommentar

    Rafael, N24 ist vor der Veröffentlichung der App auf diese Umstände hingewiesen worden. N24 hat darüber hinaus diese Hinweise auf Google+ dermaßen ins lächerliche gezogen, dass sie sich nicht wundern müssen wenn sie nun diesbezüglich kritisiert werden. Ich habe hier lediglich die Fakten auf den Tisch gelegt.
    Nebenbei, es geht hier nicht um die Device ID, für welche eine Berechtigung notwendig ist, sondern um die AndroidID für die eben keine Berechtigung erforderlich ist.

    Nur weil andere etwas machen, muss man es doch nicht ebenso machen.

    Aber Du hast mir gerade eine gute Idee geliefert. Nämlich die SDKs dieser Werbenetzwerke mal unter dem Gesichtspunkt der Anwendersichheit unter die Lupe zu nehmen. :) Danke.

    0
  • Rafael K. 18.08.2012 Link zum Kommentar

    OK ich hab mir grad mal die Mühe gemacht und sowohl in den AdMob als auch in den madvertise SDK geschaut.
    BEIDE übertragen die Device-ID an ihren Webserver, über HTTP ... ohne S !
    Madvertise hashed die ID zumindest vorher noch, was aber am Sachverhalt der Nachverfolgbarkeit nichts ändert...Hash halt.
    Ich würde vermuten das wird auch auf jeden anderen Werbeanbieter zutreffen.
    D.h. dieser Blog trifft auf jede App zu, die Werbung von Admob holt und das sind fast alle werbefinanzierten Apps.

    Was mir hier aber ein bisschen wichtiger ist, ist die Reaktion die der Blog auslöst (speziell bei allen ohne den tech. background). Bei den meisten ist doch jetzt N24 in einer Schublade mit Stasi und KGB abgespeichert. Meiner Meinung nach völlig zu Unrecht. Besonders, weil nicht diese eine spezielle App das Gesicht dieses vermeintlichen Skandals (der IMHO keiner ist) werden sollte.
    Wenn überhaupt sollte der Blog Kritik an den Werbeanbietern üben.

    0
  • Jörg V. 18.08.2012 Link zum Kommentar

    @Rafael -
    Nix gegen Werbung, irgendwie müssen die das ja finanzieren. ABER es geht auch auf die sichere Art. Man muss nicht unverschlüsselt Daten ins Netz übertragen, darüber hinaus ist es für Werbung nicht notwendig Dritten einfach so die Möglichkeit zu überlassen ein Device eindeutig im Netz identifizieren zu können.

    Um das geht es und um nichts anderes. Und andere Hersteller zeigen ganz klar, dass es besser geht.

    0
  • Rafael K. 18.08.2012 Link zum Kommentar

    Gut gemachter Blog, technisch schön recherchiert. Erinnert im Ansatz ein bisschen an die "Tatort Internet" Artikel bei heise, die ich extrem interessant finde!

    ABER !!!
    Bevor jetzt hier ein Shit-Storm, eine 1-Stern-Bewertungs-Runde und eine Uninstall-Welle losbricht, alle bitte 5 mal durchatmen und das ganze nochmal mit klarem Kopf durchdenken:

    - Die App enthält Werbung
    - Jede App, die Werbung enthält, stellt solche, oder ähnlich Anfragen
    - Jeder der bei Facebook / G+ registiert ist hinterlässt tausendfach mehr Spuren bei jedem Surfen im Netz

    0
  • Sven Woltmann
    • Admin
    • Staff
    13.08.2012 Link zum Kommentar

    > [...] was ist eigentlich mit der AndroidPIT App? Die fordert auch die IMEI?

    Hallo zusammen,

    wir verwenden die IMEI für folgende Zwecke:

    1. Statistik: Von wie vielen verschiedenen Usern wird das App Center verwendet? Da man das App Center auch ohne Login / Registrierung verwenden kann, können wir die uniquen User nur über die unterschiedlichen IMEIs zählen.

    2. Lizensierung-Support: Wenn ein Kunde Probleme mit der Lizens-Prüfung bei gekauften Apps hat, können wir über die IMEI nachschauen, ob das App Center des Users überhaupt eine Verbindung zu unseren Servern herstellen konnte und in Folge dessen, ob der Fehler server- oder clientseitig liegt.

    3. Lizensierung von Apps im ComputerBILD App Center: Im ComputerBILD App Center können Bezahl-Apps durch Einscannen eines Codes freigeschaltet werden. Die Freischaltung ist dann mit der IMEI verknüpft. Um Usern, die das ComputerBILD App Center deinstalliert haben, weiterhin zu ermöglichen diese Apps zu verwenden, übermittelt auch das AndroidPIT App Center die IMEI bei der Lizenzprüfung.

    Ich hoffe, ich konnte eure Frage befriedigend beantworten.

    Viele Grüße,
    Sven

    0
  • Frank Altmann 13.08.2012 Link zum Kommentar

    danke Jörg

    0
  • Jörg V. 11.08.2012 Link zum Kommentar

    @Patrick
    Nur um das klarzustellen, es wird NICHT die IMEI an Smartadserver gesendet sondern die sogn. Android_ID (net.hostname) welche normalerweise in Netzwerken (Router, Switches usw.) zur eindeutigen Identifizierung des Devices herangezogen wird.

    0
  • User-Foto
    Patrick 11.08.2012 Link zum Kommentar

    http://smartadserver.com/

    es dient einfach nur zu identifikation eines Gerätes um dann passende Werbung über den kleinen Banner am unteren Rand zu generieren.

    0
  • User-Foto
    Patrick 11.08.2012 Link zum Kommentar

    also ich denke, dass es der werbebanner ist... bzw die logcat damit was zu tun hat. das wird der Grund sein. warum die imei verschickt wird? um passende Werbung zu zeigen.

    smart ad(vertising) Server.com

    ...............

    0
  • Sascha M. 10.08.2012 Link zum Kommentar

    weils mir komisch vorkam, dass ein solches format, wie N24, so einen "bockmist" vertreibt... ^^

    aber interessant, dass sich offensichtlich N24 sogar hier registreirt hat, um zu kommentieren... ist bestimmt wegen EGOGOOGELN... :D

    0
  • Jörg V. 10.08.2012 Link zum Kommentar

    Ja aber sicher doch @Sascha M. Warum fragst Du so skeptisch?

    0
  • Sascha M. 10.08.2012 Link zum Kommentar

    wir reden hier aber schon von dieser original app?

    http://www.n24.de/news/newsitem_8118360.html

    0
  • Jörg V. 10.08.2012 Link zum Kommentar

    Öhm ... mal sachte angefragt, WER hat da ein Bild in meinen Blog eingebaut und dann nicht mal eine Bildquelle angegeben?

    Ich distanziere mich von diesem Bild und möchte betonen, dass dieses im Originalblog von gestern nicht enthalten war.

    0
  • Jörg V. 10.08.2012 Link zum Kommentar

    Nachtrag zur N24 App. Heute gab es ein Update auf Version 1.1 dieser App. An den im Blogbeitrag beschriebenen Vorgängen hat sich nichts verändert.

    0
  • Jörg V. 10.08.2012 Link zum Kommentar

    @BigT ... Diese Frage sollte am besten mal jemand von AndroidPIT beantworten. Nicht umsonst sitzen wir hier ja an der Quelle ...
    Nachtrag: Ich hab das mal weitergeleitet ..

    0
  • Ansgar M 10.08.2012 Link zum Kommentar

    Mir gefallen diese technischen Beiträge. Top!

    0
  • Big_T 10.08.2012 Link zum Kommentar

    Um den Kommentar zu ergänzen, was ist eigentlich mit der AndroidPIT App? Die fordert auch die IMEI?

    0
  • Mat S. 10.08.2012 Link zum Kommentar

    mhh also mal ehrlich:

    Hand hoch wer hier von euch die Facebook oder Google+ App nutzt...
    Glückwunsch! Ihr seid alle auf Servern in den USA hinterlegt und eindeutig identifiziert. Stört es einen von euch? Nö! Werdet ihr jetzt Facbeook oder G+ nicht mehr verwenden? Nö! Für was wird es benutzt? Werbung!

    Klar, das was N24 hier macht ist scheisse, aber wo ist denn hier der Unterschied zwischen FB und N24??

    0
  • T.K. 10.08.2012 Link zum Kommentar

    Für mich ist die App gestorben, da können die noch ändern was sie wollen. Wer es ähnlich sieht, sollte per Social Media vor der App warnen.

    0
Zeige alle Kommentare