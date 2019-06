Eigentlich soll die iOS-Funktion Background-App-Refresh dazu dienen, dass Anwendungen auf iPhone und iPad ohne viel Leistungs- und Stromverbrauch Daten aktualisieren, Berechnungen ausführen oder Informationen aus dem Netz beziehen können. Der Sinn der Sache dabei: Ruft der Nutzer die App später wieder händisch auf, liegen aktuelle Daten vor. Wie ein Sicherheitsunternehmen nun herausgefunden hat, verwenden allerdings diverse Anwendungen den Background-App-Refresh zu etwas ganz anderem: Sie telefonieren zwecks Nutzertracking nach Hause.

Dauertelefonie nach Hause

Der Dienstleister Disconnect.me sammelte die Informationen Ende Mai auf dem iPhone eines Reporters der Washington Post. Dabei wurde festgestellt, dass dabei enorme Datenmengen verschickt werden. Das Gerät, auf dem diverse bekannte und beliebte Apps installiert waren, generierte im Monat 1,5 GByte an Traffic allein für das Tracking. Zu den betroffenen Programmen gehörten die von Spotify, Microsoft OneDrive, Nike, Yelp, Weather Channel und sogar die der Washington Post selbst. Mittels SSL-Proxy wurde festgestellt, dass dabei auch sensible Informationen wie E-Mail-Adressen, Ortsinfos, Telefonnummern oder IP-Adressen übertragen wurden. Manche App meldete sich alle fünf Minuten bei entfernten Servern.

Besonders gerne scheinen die Apps am Abend und in der Nacht aktiv zu werden – Disconnect.me stellte etwa Übertragungen um 4 Uhr morgens oder um Viertel vor 12 fest. Der Nutzer bekommt von alledem nichts mit. Oft basieren die Übertragungen auf in den Apps steckenden Analytics- und Tracking-SDKs, die Entwickler einbauen, um Informationen zur App-Nutzung zu erhalten. Nicht selten gelangen die Daten aber auch an Dritte, die sie zu Marketingzwecken verwenden können. Dabei geht es oft um zielgerichtete Werbung.

Die Apps erstellen dabei teilweise sehr genaue Profile des Nutzers, die über das hinausgehen können, was Apple in Form von (löschbaren) Ad-Identifiern anbietet. Dazu werden Daten der Bewegungssensoren erfasst, um Geräte eindeutig zu identifizieren. Zu den großen Profiteuren dieses Infoschatzes zählen auch Google und Facebook, die Analytics-Programme für Entwickler bieten. Zuvor gab es bereits Berichte, laut denen teils sensible medizinische Informationen an die großen Plattformen gehen, nur weil Entwickler deren Tools verwenden, um Nutzeranalysen zu erstellen.

Apple scheint die Probleme, die die in vielen Apps verbauten Tracking-SDKs verursachen können, bislang nur teilweise zu erfassen. In einer Stellungnahme hieß es, man entferne Apps aus dem App Store, die sich nicht an dessen Datenschutzvorgaben halten. Eine zentrale Möglichkeit, App-Tracking zu unterbinden, fehlt jedoch. Immerhin soll es künftig bei Kinder-Apps kein Tracking und keine Werbung von Dritten mehr geben. Diese Regelung will Apple mit iOS 13 umsetzen.

