Mindestens 18.000 Android-Apps versenden Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs. Das geht aus einer Untersuchung des International Computer Science Institute in Kalifornien hervor, die nun veröffentlicht wurde. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat.

In der Werbe-ID werden werberelevante Nutzerdaten, die Apps sammeln, gespeichert. Sie kann aber jederzeit gelöscht werden – das ist etwa so, als würde man den Browser-Verlauf samt Cookies löschen. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.

Die beanstandeten Apps verschicken die Personendaten allerdings nicht nur mit der Werbe-ID, sondern auch mit permanenten Geräte-Identifikationsnummern, schreiben die Forscher. IDs wie die Android-ID (SSAID) oder die IMEI lassen sich schwer oder gar nicht vom Nutzer löschen beziehungsweise ändern. Das Resultat: Werbedienste können die von Apps übermittelten Daten auch nach Änderung der Werbe-ID zuordnen – die Nutzer sind dabei machtlos.

17.000 von 24.000 Apps betroffen

Das verstößt gegen die Werberichtlinien von Google. Dort heißt es: "Die Werbe-ID darf nur mit ausdrücklicher Zustimmung des Nutzers mit personenbezogenen Daten oder gleichbleibenden Geräte-IDs wie SSAID, MAC-Adresse oder IMEI verknüpft werden." Die beanstandeten Apps holen eine solche ausdrückliche Zustimmung nicht ein.

Unter den beanstandeten Anwendungen befinden sich prominente Apps wie Angry Birds Classic und Audibooks by Audible. Insgesamt verstießen von 24.000 Apps in der Datenbank 17.000 gegen diese Richtlinie.

Google antwortet nur vage

Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Das US-Technikmagazin CNET hat sich nun nach Veröffentlichung der Informationen bei Google gemeldet und ein Statement erhalten: "Wir nehmen dieses Thema sehr ernst. Es ist streng verboten, die Werbe-ID mit anderen Geräte-Identifikationsnummern zu verknüpfen, um Werbeanzeigen zu personalisieren. Wir überprüfen Apps ständig – auch diejenigen aus dem Bericht der Forscher – und greifen ein, wenn sie gegen unsere Richtlinien verstoßen."

Was genau Google bei wie vielen Apps unternommen hat, geht aus der Antwort nicht hervor. Die Wissenschaftler berichten derweil, dass die Zahl der Apps, die die Werbe-ID zusammen mit einer festen Geräte-ID übermitteln, seit dem vergangenen September von 17.000 auf 18.000 gestiegen sei. (dahe)