X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

N24 - kommt zur Sache, nur wie?

Jörg V.
75

Vor einiger Zeit, genau genommen am 3.08.2012, machte mich mein Freund Andreas auf die Google + Seiten von “N24 - Wir kommen zur Sache” aufmerksam. Dies tat er hauptsächlich deswegen, weil man dort in einem Beitrag auf G+ vor einer Fake App warnte, die wohl von Dritten in den Markt gestellt wurde und die ziemlich extreme Berechtigungen forderte.

Interessanterweise teilte N24 im selben Beitrag auch mit, dass man in seiner eigenen, echten N24 App, Zitat: “nur die Zugriffsrechte auf die Telefon-ID und natürlich die Internetverbindung” anfordern würde. Hier wurde Andreas dann hellhörig und hinterfragte, wofür die IMEI denn benötigt würde. Auch ich klinkte mich in die Frage mit ein und merkte an, dass es heutzutage nicht mehr notwendig sei, die IMEI zu verwenden und es andere Methoden gäbe, die datenschutztechnisch nicht so bedenklich sind wie die IMEI.

Kurze Erklärung zur IMEI:


Die IMEI (international mobile station equipment identity) ist eine weltweit eindeutige, 15-stellige Seriennummer, anhand derer man jedes GSM- oder UMTS-Endgerät eindeutig identifizieren kann. Nährere Erklärungen dazu findet man bei Wikipedia.
Das Grundproblem mit der IMEI ist, dass sie aufgrund der engen Verbundenheit des jeweiligen Mobiledevices und seinem Eigentümer einen schützenswürdigen Datensatz darstellt und nicht ohne weiteres den Weg auf irgend welche anderen Server finden sollte, auf denen wer weiß was mit diesen Daten geschehen kann.

Letztlich, nach mehrfachen insistieren von Usern, hatte “N24 - wir kommen zur Sache” dann zugesagt, die Verwendung der IMEI aus der App zu entfernen, was ich persönlich sehr positiv betrachte, auch wenn das Verhalten der Artikelverfasser sich im Verlauf der Diskussion zunächst als eher “kindisch” darstellte.

Jedenfalls hatte ich im Rahmen des teilweise etwas merkwürdigen Diskussionsverlaufes versprochen, die App einmal unter die Lupe zu nehmen, sobald sie veröffentlicht wird. Dieses Versprechen möchte ich einlösen und habe somit die Version 1.0 der N24 App unter die Lupe genommen.


Vorgehensweise:


Installation der N24 aus dem Google Play Store
Aufruf der App nach der Installation
Beenden der App
Überprüfung des Logcat nach Beendigung der App mit Logman
Genauere, manuelle Überprüfung des Logcat
Erneuter Aufruf der App, Ausschalten der “Mobile App Senso Messung” unter “Datenschutz”
Beenden der App N24
Einbuchen des Devices ins eigene Wlan
Starten eines Wlan-Sniffer Tools (Wireshark)
Starten der App N24
Aufruf eines Artikels
Beenden der App
Auswerten des Netzwerkverkehrs mit Hilfe von Wireshark


Ergebnisse:

Das erste Ergebnis der Überprüfung des Logcat durch meine eigene App Logman war positiv und lies zunächst keinen Grund zur Beanstandung erahnen. Es werden weder IMEI, noch IMSI, Telefonnummer, Email oder Location Daten von der N24 App ins Logcat geschrieben.

Das zweite Ergebnis, die manuelle und detaillierte Überprüfung des Logcat, brachte dann allerdings weniger Schönes ans Tageslicht. Gefunden habe ich im Logcat exakt folgende Zeilen:

“08-07 22:29:51.299: I/SmartAdServer(23744): Messages posted to the server : {"connexion":"wifi","uid":"ad5266a5a5aba24","platform":"Android","lang":"de","sdkversion":"2.0","sdkname":"SDKAndroid","appname":"SNS"}

08-07 22:29:51.299: I/SmartAdServer(23744): Will load ad at URL : http://mobile.smartadserver.com/call2/pubmj/38682/262488/12626/M/1344371391298//ad5266a5a5aba24/Mozilla%2F5.0%20%28Linux%3B%20U%3B%20Android%204.0.3%3B%20de-at%3B%20GT-N7000%20Build%2FIML74K%29%20AppleWebKit%2F534.30%20%28KHTML%2C%20like%20Gecko%29%20Version%2F4.0%20Mobile%20Safari%2F534.30

Rasch habe ich dann das Device per USB-Kabel an meinen PC angeschlossen und mich mit der am PC installierten Android Debug Brigde (ADB) davon überzeugt, dass es auch wirklich die App von N24 ist, die obige Zeilen ins Logcat schrieb.
C:\users\anonym\adb shell
shell@android:/ $ ps
ps
USER PID PPID VSIZE RSS WCHAN PC NAME
.....
app_15 23724 1700 468492 34784 ffffffff 00000000 S android.process.acore
app_125 23744 1700 552572 74620 ffffffff 00000000 S de.cellular.n24hybrid
app_61 23866 1700 462520 28996 ffffffff 00000000 S com.google.android.gsf.login
shell 23883 1711 812 408 c0248490 40072ec4 S /system/bin/sh
....
Wie aus der oben jeweils fett abgedruckten Zahl “23744” der sogenannten PID klar zu erkennen ist, handelt es sich dabei eindeutig um die App N24.

Was sagen nun die beiden, oben gezeigten, Logzeilen aus?
Zum einen wird in der ersten Zeile angekündigt, dass etwas an einen Server gesendet werden soll, oder wurde, und in der zweiten Zeile wird ausgesagt, dass dies auch erfolgt ist, sowie an welchen Server. Genau genommen werden nun folgende Informationen an einen anderen Server übermittelt:

Verbindungstyp: wifi (wlan Verbindung) <- “connexion":"wifi"
eine Erkennungs ID : <- "uid":"ad5266a5a5aba24"
Die Geräte OS Plattform: <- "platform":"Android"
Die eingestellte Systemsprache: <- "lang":"de"
Die verwendete SDK Version: <- "sdkversion":"2.0"
Der SDK Name: <- "sdkname":"SDKAndroid"
Der App Name: <- "appname":"SNS"
sowie im tatsächlichen Request noch zusätzlich:

Die OS Version : Android 4.0.3
Der Geräte Typ: GT-N7000
Der Browser Typ: Mozilla 5.0
Die Sprachvariant: de-at
Die Webkit Verision: AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

Diese Informationen werden unverschlüsselt zu folgendem Server übermittelt:

http://mobile.smartadserver.com

Eine kurze Überprüfung am PC ergibt, dass dieser Server sich in Paris, Frankreich befindet:

C:\Users\anonym\>tracert mobile.smartadserver.com

Routenverfolgung zu itx5.smartadserver.com [91.103.142.194] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 192.168.1.1
2 7 ms 2 ms 1 ms 192.168.0.1
3 * 18 ms 17 ms vie-xxxxxxxxx.dsl.sil.at [xx.xx.xx.xx]
4 19 ms 17 ms 17 ms Te1-4-c2.oe6.sil.at [xx.xx.xx.xx]
5 21 ms 17 ms 38 ms 81.189.132.89
6 18 ms 19 ms 17 ms 212.152.193.90
7 16 ms 17 ms 17 ms wen3-core-1.tengigabiteth11-0.tele2.net [130.244.49.117]
8 17 ms 17 ms 18 ms wen1-core-1.pos0-0.tele2.net [130.244.205.49]
9 35 ms 34 ms 35 ms fra50-core-1.pos0-12-0-0.tele2.net [130.244.205.41]
10 31 ms 31 ms 30 ms fra36-peer-1.ae0-unit0.tele2.net [130.244.64.69]
11 30 ms 33 ms 30 ms peer-as3356.fra36.tele2.net [130.244.200.86]
12 31 ms 40 ms 31 ms vlan70.csw2.Frankfurt1.Level3.net [4.69.154.126]
13 31 ms 32 ms 32 ms ae-71-71.ebr1.Frankfurt1.Level3.net [4.69.140.5]
14 40 ms 41 ms 44 ms ae-48-48.ebr2.Paris1.Level3.net [4.69.143.146]
15 44 ms 50 ms 48 ms ae-57-222.csw2.Paris1.Level3.net [4.69.161.58]
16 40 ms 39 ms 40 ms ae-22-52.car2.Paris1.Level3.net [4.69.139.227]
17 40 ms 39 ms 41 ms SIPARTECH.car2.Paris1.Level3.net [212.73.207.246]
18 41 ms 39 ms 39 ms 91.103.138.174
19 40 ms 40 ms 40 ms 91.103.142.194

 

Eine nachfolgende Überprüfung durch eine Whois Abfrage bestätige dies dann noch explizit.

 

Soweit so schlecht, aber was ist nun das Schlimme an diesen Dingen?


Nun, zum einen wird von der N24 App hier ein Merkmal des Android Devices verwendet, welches eine einwandfrei Identifizierung dieses Devices in Netzwerken ermöglicht, und zwar der sogenannte “net.hostname” welcher die “Android Device ID” darstellt und für die gesamte Lifetime des Gerätes gültig ist.
(Siehe: http://developer.android.com/reference/android/provider/Settings.Secure.html#ANDROID_ID)
Aussage: A 64-bit number (as a hex string) that is randomly generated on the device's first boot and should remain constant for the lifetime of the device. (The value may change if a factory reset is performed on the device.)

Wir sind also auch, wenn nicht die IMEI verwendet wird, identifizierbar!

Darüber hinaus, werden diese Informationen über eine unverschlüsselte Internetverbindung, in sich UNVERSCHLÜSSELT übertragen und sind so nahezu von jedermann mit zu lesen.

Nun könnte einer sagen, OK .. das steht im Logcat, aber das heisst ja noch lange nicht, dass diese Daten auch tatsächlich übertragen werden. Um diesem Argument entgegen zu treten, habe ich den gesamten oben beschriebenen Netzwerkverkehr mit Hilfe eines Tools mitgeschnitten und analysiert. Die Daten werden demzufolge tatsächlich an den oben genannten Server in Paris/Frankreich übertragen.

Das Perfide an der hier von den Entwicklern gewählten Methode ist, dass der Standard User nun nicht wirklich etwas dagegen unternehmen kann. Zum einen handelt es sich bei der abgefragten Eigenschaft net.hostname, bzw. der Android_ID nicht um eine Eigenschaft, welche eine sogenannte Permission benötigt, noch werde ich über diesen Umstand an irgendeiner Stelle informiert.
In den online abrufbaren Datenschutzbestimmungen wird zwar auf die Verwendung eines Frameworks mit Namen: Mobile App Sensor hingewiesen, welches eine Gerätekennung verwenden soll, die gekürzt und verschlüsselt (und somit anonymisiert) übertragen wird. Ausserdem soll man sich davon per Opt-out (am Ende der Datenschutzerklärung) durch entfernen eines Hakens befreien können, jedoch betreffen diese Aussagen nach Lage der Dinge nicht die hier stattfindenden Prozesse, da trotz entfernten Haken bei mir dieser Übertragung standfindet. Das hier verwendete Framework ist im Gegensatz zu dem in der Datenschutzerklärung erwähnten, ein Werbeframework, dass Werbeeinblendungen generieren soll.

 

Die Fragen lauten also:

Warum verschweigt N24 dieses den Benutzern seiner App und weshalb werden hier unnötigerweise, so offensichtlich unsichere Technologien verwendet?

Darüber hinaus muss man sich auch die Frage stellen, warum N24 trotz der Bitten der User hier Daten an DRITTE weiterreicht, die dazu benutzt werden können das Device des Benutzers in Netzwerken zu identifizieren?

Es wäre doch so einfach diese Dinge sicherer zu machen und den Benutzer nicht unnötigen Gefahren auszusetzen.
Es würde vollauf genügen, auf eine verschlüsselte Verbindung umzustellen. Also https anstelle von http zu verwenden. Dies in Verbindung mit einem gehashtem oder verkypteten ID Wert, würde den Benutzer in keinster Weise nachhaltig gefährden. Darüber hinaus wäre es natürlich wünschenswert und rechtlich, vermutlich sogar erforderlich, den Benutzer über diese Methoden zu informieren.

Man darf gespannt sein, was N24 dazu sagen wird!

Bildquelle: Jörg Voss/N24 

Verwandte Themen

Auch interessant

Magazin / Apps
34 vor 1 Woche

Benachrichtigungen der automatischen Sicherung von Fotos deaktivieren

Magazin / Updates
49 vor 1 Woche

Updates für Google-Android-Apps: Das bringen Euch die neuen Versionen

Magazin / Updates
5 vor 1 Monat

Google+ via Chromecast: Update bringt News-Stream auf den Fernseher

Kommentare

Neuen Kommentar schreiben:
  • Foff T. 09.08.2012 Link

    Ich bin gespannt. Jörg, weiter so!

    0
  • Michael Maier 09.08.2012 Link

    Krasse Sache....

    0
  • User-Foto
    Yeehaw 09.08.2012 Link

    Wow! Das ist wirklich krass.
    Bedeutet das, du hast N24 nochmal darauf angeschrieben?

    0
  • astrid werkmeister 09.08.2012 Link

    danke für die info jörg. habe die app erstmal wieder deinstalliert.

    0
  • User-Foto
    Denis F. 09.08.2012 Link

    Danke Jörg. Wollte mir eigentlich ein Bild von der App machen doch vorerst werde ich darauf verzichten.

    0
  • Jörg V. 09.08.2012 Link

    @Yeehaw .. der Original artikel ist auf G+ und ich habe dort auch (weil es dort seinen Ursprung hatte) N24 - wir kommen zur Sache" dort addressiert.

    0
  • Benjamin A. 09.08.2012 Link

    Ich habe so ein Bauchgefühl, dass man bei 90% der Apps auf ähnliche Ergebnisse kommt...

    Vor einiger Zeit wurde doch auch über WhatsApp berichtet, dass unverschlüsselt Nachrichten verschickt werden. Hat sich da eigentlich etwas dran geändert? Hat sich die Userzahl dadurch spürbar reduziert?

    Natürlich unschön, dass N24 hier die ID abgreift - mich stört das weniger, ich mache so fort Factory Resets, dass ich mit der Anzahl meiner ID ein Telefonbuch füllen könnte^^

    0
  • Käpt'n Andreas V. 09.08.2012 Link

    Ich nenne ihn ja gerne Sherlock Voss ;-)

    0
  • Axel F. 09.08.2012 Link

    SEHR GEILER BLOG-EINTRAG! DANKE!

    Mehr davon!! Besser als der Blogger Einheitsbrei, News die man in jedem Tech-Blog liest. Weiter so!

    0
  • Steve "EnteEnteEnte" W. aus B. an der S. 09.08.2012 Link

    geiler Bericht, sowas liest man wirklich gerne (zumindest von der Qualität des Blogs her xD)
    weiter so, Daumen hoch

    0
  • Jörg V. 09.08.2012 Link

    Danke Euch ... leider ist es gar nicht so einfach solche Beiträge zu schreiben, da hier viel Recherche und Aufwand dahinter steckt, aber ein Hobby braucht der Mensch ja schließlich ;)

    0
  • Jogi 09.08.2012 Link

    Sehr guter blog!!! und sehr interessant !! Bitte mehr solcher blogs

    0
  • rocka 09.08.2012 Link

    Sehr guter Beitrag. Super recherchiert!

    0
  • A. Kitzi 09.08.2012 Link

    1+

    0
  • Max B. 09.08.2012 Link

    also echt respekt ! toller beitrag
    hast echt mühen auf dich genommen

    0
  • Pinky 09.08.2012 Link

    super blog!!!
    wird aber wohl bei 90% der apps so sein..

    0
  • Pure★Aqua ツ 09.08.2012 Link

    Kompliment für den lesenswerten & verdammt guten Blog.
    Denke leider auch das dies bei vielen Apps gemacht wird.
    Bei mir kommt das Ding auf jeden Fall nicht drauf.

    0
  • User-Foto
    Mod
    Nima Begli 09.08.2012 Link

    Ich bitte alle den Beitrag von AndroidPit.de und von Jörg auf Google+ zu teilen (sofern ihr da vertreten seid). Mit etwas Glück schafft es der Beitrag in die "angesagten Beiträge" von Google+ und findet so eine breitere Basis.

    0
  • Flo 09.08.2012 Link

    Wow so spät ein neuer Blog das gab's bei androidpit schon lange nicht mehr

    Gefällt mir ;-) +1 ;-)

    PS: Mist wenn man Facebook und Google + hat muss man immer alles doppelt machen.

    PS.2: sorry das ich so einen sch...ß schreibe ich bin einfach ein bisschen betrunken.

    Haut rein! XD

    0
  • Pure★Aqua ツ 09.08.2012 Link

    Zwar nicht mit G+ geteilt ,aber immerhin Facebook.
    Gutes Frauchen ;-)

    0
  • N. T. 10.08.2012 Link

    Klasse Beitrag, Danke für die Aufklärung

    0
  • Android Fanboy 10.08.2012 Link

    Dachte grad ich werd verrückt als ich exakt den selben Beitrag bei Giga.de gelesen habe. Wusste nicht dass du bei beiden Seiten Arbeitest Jörg :D

    0
  • Sebastian W. 10.08.2012 Link

    Danke für den tollen Bericht. Aber mal für Dummies : was könn(t)en die mit meiner ID anfangen?

    0
  • Jan 10.08.2012 Link

    & was kann man mit den Daten schlimmes anstellen ? das hab ich jetzt nicht rausgelesen

    0
  • Horst 10.08.2012 Link

    Ich hätte gerne mehr solcher Beiträge. :-)

    Ich befürchte, dass sich ähnliches Verhalten bei vielen Apps finden wird. :-(

    0
  • Big_T 10.08.2012 Link

    Warum oder für was benötigt die AndroidPIT die Phone ID/IMEI?

    0
  • Zwergla 10.08.2012 Link

    Die Androidpit-App ist allgemein fragwürdig :D. Da sollte mal was getan werden, das Lesen macht damit einfach extrem wenig Spaß, selbst eine mobile Website wäre mir ehrlich gesagt lieber, als der aktuelle Zustand.

    Der Blog ist aber wirklich klasse!

    0
  • Zwergla 10.08.2012 Link

    Nachtrag: Glatt den Blog von heute überlesen. Gut so!

    0
  • User-Foto
    Androweed 10.08.2012 Link

    Das nenn ich mal einen Sicherheitsexperten! Danke für die Berichterstattung!

    0
  • Lukinator 10.08.2012 Link

    Wirklich gut gemachter Blog!

    Aber das was N24 ist echt ziemlich krass!

    0
  • Dirk Richter 10.08.2012 Link

    Toller Blog.
    Das ist echt mal "investigatiever" Journalismus...
    Ich bin mir zwar nicht ganz sicher, wovor ich mich jetzt schützen soll, aber hinter dem Bericht steckt nachvollziehbar ein gutes Stück Arbeit.
    Und nicht so ein Mumpitz wie.. :
    Wird das SGS3 schwarz, rosa oder kariert...
    Vielen Dank..

    0
  • M.J 10.08.2012 Link

    Hallo,
    mit Logcat wurden bei mir 2 Einträge gefunden wo die IMEI übermittelt wird, wie finde ich jetzt heraus welche app das ist?

    Danke für die Hilfe
    Marion

    0
  • Käpt'n Andreas V. 10.08.2012 Link

    Hallo Marion,

    klicke mal auf den Eintrag, dann wird Dir der Paketname angezeigt, aus dem man meist erkennen kann, um welche App es sich handelt.

    0
  • ©h®is 10.08.2012 Link

    danke jörg!

    0
  • darkly 10.08.2012 Link

    Auch hier: Klasse Artikel und erschreckendes Ergebniss. +1

    0
  • DaMaurice 10.08.2012 Link

    Danke Jörg für diesen SUPER Blog !!!
    Es sollte so etwas öfters gemacht werden !!!!!!!!!!!
    ~ THX ~

    0
  • Jörg V. 10.08.2012 Link

    Danke Euch allen !!

    Freut mich, wenn die Arbeit sich gelohnt hat.

    0
  • Stephan 10.08.2012 Link

    gut dass ich zweitklassige Berichterstattung alla N24, N-TV etc nicht benutze :)

    0
  • Leto Atreides 10.08.2012 Link

    Chapeau! Habe deinen Blog sehr gerne gelesen.

    Anregung für einen weiteren -gut recherchierten- Blog: Warum soll sich der Smartphone-User überhaupt Gedanken um die Rechte der Apps machen? Welche Industrie steht hinter dem organisierten Datenklau unserer alltäglichen Begleiter denen wir so viel anvertrauen?

    Vielleicht unter: "WTF?! - Alda, mein Handy ist konkreter Doppelspion"... ach nein, Kamal ist ja nicht mehr da ;-)

    0
  • Thomas 10.08.2012 Link

    super beitrag +1
    erinnert mich an frühere androidpit zeiten ;)

    0
  • Marco B 10.08.2012 Link

    Der beste Blog seit ewigkeiten. Vielen Dank für diesen tollen Bericht!

    0
  • Volker K. 10.08.2012 Link

    Danke Jörg für den tollen Bericht ;-) +1
    Mochte die App eh nie :-( , wurde ziemlich schnell nach der Installation ins Nirvana geschickt

    0
  • Herbert 10.08.2012 Link

    @Jörg wäre es nicht möglich ein haufen apps im emulator laufen zu lassen, dann im hintergrund unter windows mit wireshark den log auswerten.
    Das würde doch viel schneller gehen, als jede einzeln aufem handy mitsniffen...

    0
  • Peter W. 10.08.2012 Link

    Klasse Bericht. Danke. Wird sofort gepostet.

    0
  • User-Foto
    Sir Andi Droid 10.08.2012 Link

    Klasse Bericht, wird geteilt, sobald ich ausreichend Netz hab um in g+ rein zu kommen...

    0
  • N24 Online 10.08.2012 Link

    Vielen Dank für diese ausführliche Analyse unserer App.

    Wir werden die Informationen mit unseren Experten besprechen.

    Euer N24-Online Team

    0
  • p2p by Mp2play 10.08.2012 Link

    Danke für den guten Beitrag! Sowas will ich hier lesen!

    0
  • Klaus T. 10.08.2012 Link

    Toller Beitrag, danke!
    +1

    0
  • Fabien Roehlinger 10.08.2012 Link

    Sherlock Voss ist gut und passt ausgezeichnet... :-)

    0
  • Hajott 10.08.2012 Link

    Vielen Dank für diesen professionellen und engagierten Testbericht!

    0
  • Max B. 10.08.2012 Link

    hat ja schon mal aufmerksamkeit bei n24 erregt
    sowas könnte man doch als serie bringen

    0
  • Benedikt K 10.08.2012 Link

    Tolle Recherche, super erklärt +2^^

    0
  • wowas 10.08.2012 Link

    super beitrag, danke

    0
  • XXL 10.08.2012 Link

    Toller Beitrag, wenn auch ein wenig zu technisch für mich:)

    Stellt sich nur die Frage, ob jetzt N24 nur einer unter vielen ist und jetzt halt einfach als Beispiel den Kopf hinhalten muss.

    0
  • Jörg V. 10.08.2012 Link

    @xxl
    Wir werden weiter testen und ich bin mir sehr sicher, dass es nicht bei dem einen bleiben wird.

    0
  • T.K. 10.08.2012 Link

    Für mich ist die App gestorben, da können die noch ändern was sie wollen. Wer es ähnlich sieht, sollte per Social Media vor der App warnen.

    0
  • Mat S. 10.08.2012 Link

    mhh also mal ehrlich:

    Hand hoch wer hier von euch die Facebook oder Google+ App nutzt...
    Glückwunsch! Ihr seid alle auf Servern in den USA hinterlegt und eindeutig identifiziert. Stört es einen von euch? Nö! Werdet ihr jetzt Facbeook oder G+ nicht mehr verwenden? Nö! Für was wird es benutzt? Werbung!

    Klar, das was N24 hier macht ist scheisse, aber wo ist denn hier der Unterschied zwischen FB und N24??

    0
  • Big_T 10.08.2012 Link

    Um den Kommentar zu ergänzen, was ist eigentlich mit der AndroidPIT App? Die fordert auch die IMEI?

    0
  • Ansgar M 10.08.2012 Link

    Mir gefallen diese technischen Beiträge. Top!

    0
  • Jörg V. 10.08.2012 Link

    @BigT ... Diese Frage sollte am besten mal jemand von AndroidPIT beantworten. Nicht umsonst sitzen wir hier ja an der Quelle ...
    Nachtrag: Ich hab das mal weitergeleitet ..

    0
  • Jörg V. 10.08.2012 Link

    Nachtrag zur N24 App. Heute gab es ein Update auf Version 1.1 dieser App. An den im Blogbeitrag beschriebenen Vorgängen hat sich nichts verändert.

    0
  • Jörg V. 10.08.2012 Link

    Öhm ... mal sachte angefragt, WER hat da ein Bild in meinen Blog eingebaut und dann nicht mal eine Bildquelle angegeben?

    Ich distanziere mich von diesem Bild und möchte betonen, dass dieses im Originalblog von gestern nicht enthalten war.

    0
  • Sascha M. 10.08.2012 Link

    wir reden hier aber schon von dieser original app?

    http://www.n24.de/news/newsitem_8118360.html

    0
  • Jörg V. 10.08.2012 Link

    Ja aber sicher doch @Sascha M. Warum fragst Du so skeptisch?

    0
  • Sascha M. 10.08.2012 Link

    weils mir komisch vorkam, dass ein solches format, wie N24, so einen "bockmist" vertreibt... ^^

    aber interessant, dass sich offensichtlich N24 sogar hier registreirt hat, um zu kommentieren... ist bestimmt wegen EGOGOOGELN... :D

    0
  • User-Foto
    Patrick 11.08.2012 Link

    also ich denke, dass es der werbebanner ist... bzw die logcat damit was zu tun hat. das wird der Grund sein. warum die imei verschickt wird? um passende Werbung zu zeigen.

    smart ad(vertising) Server.com

    ...............

    0
  • User-Foto
    Patrick 11.08.2012 Link

    http://smartadserver.com/

    es dient einfach nur zu identifikation eines Gerätes um dann passende Werbung über den kleinen Banner am unteren Rand zu generieren.

    0
  • Jörg V. 11.08.2012 Link

    @Patrick
    Nur um das klarzustellen, es wird NICHT die IMEI an Smartadserver gesendet sondern die sogn. Android_ID (net.hostname) welche normalerweise in Netzwerken (Router, Switches usw.) zur eindeutigen Identifizierung des Devices herangezogen wird.

    0
  • Frank Altmann 13.08.2012 Link

    danke Jörg

    0
  • User-Foto
    Admin
    Sven Woltmann 13.08.2012 Link

    > [...] was ist eigentlich mit der AndroidPIT App? Die fordert auch die IMEI?

    Hallo zusammen,

    wir verwenden die IMEI für folgende Zwecke:

    1. Statistik: Von wie vielen verschiedenen Usern wird das App Center verwendet? Da man das App Center auch ohne Login / Registrierung verwenden kann, können wir die uniquen User nur über die unterschiedlichen IMEIs zählen.

    2. Lizensierung-Support: Wenn ein Kunde Probleme mit der Lizens-Prüfung bei gekauften Apps hat, können wir über die IMEI nachschauen, ob das App Center des Users überhaupt eine Verbindung zu unseren Servern herstellen konnte und in Folge dessen, ob der Fehler server- oder clientseitig liegt.

    3. Lizensierung von Apps im ComputerBILD App Center: Im ComputerBILD App Center können Bezahl-Apps durch Einscannen eines Codes freigeschaltet werden. Die Freischaltung ist dann mit der IMEI verknüpft. Um Usern, die das ComputerBILD App Center deinstalliert haben, weiterhin zu ermöglichen diese Apps zu verwenden, übermittelt auch das AndroidPIT App Center die IMEI bei der Lizenzprüfung.

    Ich hoffe, ich konnte eure Frage befriedigend beantworten.

    Viele Grüße,
    Sven

    0
  • Rafael K. 18.08.2012 Link

    Gut gemachter Blog, technisch schön recherchiert. Erinnert im Ansatz ein bisschen an die "Tatort Internet" Artikel bei heise, die ich extrem interessant finde!

    ABER !!!
    Bevor jetzt hier ein Shit-Storm, eine 1-Stern-Bewertungs-Runde und eine Uninstall-Welle losbricht, alle bitte 5 mal durchatmen und das ganze nochmal mit klarem Kopf durchdenken:

    - Die App enthält Werbung
    - Jede App, die Werbung enthält, stellt solche, oder ähnlich Anfragen
    - Jeder der bei Facebook / G+ registiert ist hinterlässt tausendfach mehr Spuren bei jedem Surfen im Netz

    0
  • Jörg V. 18.08.2012 Link

    @Rafael -
    Nix gegen Werbung, irgendwie müssen die das ja finanzieren. ABER es geht auch auf die sichere Art. Man muss nicht unverschlüsselt Daten ins Netz übertragen, darüber hinaus ist es für Werbung nicht notwendig Dritten einfach so die Möglichkeit zu überlassen ein Device eindeutig im Netz identifizieren zu können.

    Um das geht es und um nichts anderes. Und andere Hersteller zeigen ganz klar, dass es besser geht.

    0
  • Rafael K. 18.08.2012 Link

    OK ich hab mir grad mal die Mühe gemacht und sowohl in den AdMob als auch in den madvertise SDK geschaut.
    BEIDE übertragen die Device-ID an ihren Webserver, über HTTP ... ohne S !
    Madvertise hashed die ID zumindest vorher noch, was aber am Sachverhalt der Nachverfolgbarkeit nichts ändert...Hash halt.
    Ich würde vermuten das wird auch auf jeden anderen Werbeanbieter zutreffen.
    D.h. dieser Blog trifft auf jede App zu, die Werbung von Admob holt und das sind fast alle werbefinanzierten Apps.

    Was mir hier aber ein bisschen wichtiger ist, ist die Reaktion die der Blog auslöst (speziell bei allen ohne den tech. background). Bei den meisten ist doch jetzt N24 in einer Schublade mit Stasi und KGB abgespeichert. Meiner Meinung nach völlig zu Unrecht. Besonders, weil nicht diese eine spezielle App das Gesicht dieses vermeintlichen Skandals (der IMHO keiner ist) werden sollte.
    Wenn überhaupt sollte der Blog Kritik an den Werbeanbietern üben.

    0
  • Jörg V. 18.08.2012 Link

    Rafael, N24 ist vor der Veröffentlichung der App auf diese Umstände hingewiesen worden. N24 hat darüber hinaus diese Hinweise auf Google+ dermaßen ins lächerliche gezogen, dass sie sich nicht wundern müssen wenn sie nun diesbezüglich kritisiert werden. Ich habe hier lediglich die Fakten auf den Tisch gelegt.
    Nebenbei, es geht hier nicht um die Device ID, für welche eine Berechtigung notwendig ist, sondern um die AndroidID für die eben keine Berechtigung erforderlich ist.

    Nur weil andere etwas machen, muss man es doch nicht ebenso machen.

    Aber Du hast mir gerade eine gute Idee geliefert. Nämlich die SDKs dieser Werbenetzwerke mal unter dem Gesichtspunkt der Anwendersichheit unter die Lupe zu nehmen. :) Danke.

    0
  • Rafael K. 18.08.2012 Link

    Bitteschön :-)
    Wenn dann mal die echten Problemquellen an den Pranger kommen gibts auch von mir ein +1 ;-)

    0