US-Bürgerrechtler: App zu Amazons Ring-Kameras ist große Datenschleuder

Ring-Videoklingeln teilen heimlich via Android-App zahlreiche auch sensibelste Informationen über die Nutzer mit Facebook und großen Tracking-Firmen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 54 Beiträge

(Bild: Ring)

Von

Die populären Videoklingeln und Überwachungskameras der Amazon-Tochter Ring kommen unter dem Aspekt Datenschutz und IT-Sicherheit nicht aus den schlechten Schlagzeilen heraus. Eine Analyse der Electronic Frontier Foundation (EFF) zeigt, dass die zugehörige Android-App größtenteils hinter dem Rücken der Nutzer mit zahlreichen Big-Data- und Tracking-Firmen sowie Facebook kommuniziert und eine Vielzahl an persönlichen Informationen mit diesen teilt.

Laut der am Dienstag veröffentlichten Untersuchung sendet Ring Daten wie IP-Adressen, Informationen über das genutzte Smartphone, den Netzbetreiber und das eventuell verwendete WLAN sowie Sensorendaten an die "zahlende Kundschaft". In einem Fall erhält der Empfänger auch den Namen und die E-Mail von Anwendern. Dass überhaupt Informationen an Dritte gehen, erklärt der Hersteller demnach gar nicht oder verbirgt rudimentäre Angaben dazu im Kleingedruckten der Geschäftsbedingungen.

Auf vier Fälle geht die US-Bürgerrechtsorganisation näher ein, die für den Test die Ring-App in der Version 3.21.1 ausprobiert und dabei auch per HTTPS verschlüsselten Netzwerkverkehr unter die Lupe genommen hat. Facebook wird demnach über die Graph API darauf hingewiesen, wenn ein Nutzer die Ring-Anwendung startet oder diese längere Zeit inaktiv bleibt. Daten wie die eingestellte Zeitzone, das Gerätemodell, die Spracheinstellung, Bildschirmauflösung sowie eine sich als hartnäckig erweisende einzigartige Kennung (anon_id) gehen an den Netzwerkbetreiber, auch wenn der Ring-Kunde kein Facebook-Mitglied ist.

Die "Deep Linking"-Plattform Branch.io erhält mehrere unveränderbare Kennungen wie einen "Fingerabdruck" des Endgeräts, eine Hardware-Nummer und eine Identitätsziffer sowie die verwendete IP-Adresse und andere Informationen rund um das Smartphone.

Direkt über den Start und weitere Nutzeraktivitäten wie die Interaktion mit "benachbarten" Apps hält Ring zudem den auf mobile Plattformen fokussierten Big-Data-Spezialisten AppsFlyer auf dem Laufenden. Dieser will unter anderem auch wissen, wann Ring das erste Mal in Betrieb ging, wo die App dafür heruntergeladen wurde und ob die eigene Trackingsoftware eventuell bereits als "Bloatware" auf dem Handy vorinstalliert war. Dazu kommen Sensordaten etwa aus dem Bewegungsmesser Gyroskop oder dem Beschleunigungsmesser und Kalibrierungseinstellungen.

Die meisten Informationen einschließlich der vollen Namen und Mailadressen der Nutzer sowie detaillierte Angaben zum Mobiltelefon gehen an den Tracker MixPanel. Dieser Anbieter sieht etwa auch die Zahl der Orte, an denen der Anwender Ring-Kameras installiert hat, und ob Bluetooth aktiviert ist. Die Firma wird zwar als einzige der erwähnten kurz in der Liste der Drittparteien erwähnt, mit denen der Klingelproduzent zusammenarbeitet, aber das Ausmaß der Datensammelei nicht. Nicht zuletzt sendet Ring laut EFF Messwerte an den zu Google gehörenden Dienst Crashalytics, der Logs zu Programmabstürzen auswertet. Das genaue Ausmaß der Mitteilungsfreudigkeit müsse hier aber noch weiter ausgeleuchtet werden.

Die Experten haben die Analyse nach eigenen Angaben mit dem Proxydienst mitmproxy durchgeführt, um dem verborgenen Datenverkehr überhaupt auf die Spur zu kommen. Um Überblendungen durch andere Apps auszuschließen, installierten sie eine spezielle Firewall-App, um von Ring ausgehende Pakete herauszufiltern. Erst mit dem zusätzlichen Analysewerkzeug Frida gelang es den Technikern, auch Zertifikatsprobleme zu umgehen und den verschlüsselten Verkehr mitlesen zu können.

Die Gefahr für die Privatsphäre der Betroffenen ergibt sich laut der EFF vor allem daraus, dass Tracking-Firmen die abgefischten Bits auch mit weiteren Online-Informationen über Nutzer zusammenführen und so ein "einzigartiges Bild" des verwendeten Geräts erstellen können. Damit erzeugten sie einen digitalen Fußabdruck, mit dem sie den User auf Schritt und Tritt auch bei der Interaktion mit anderen Apps oder beim Surfen im Internet verfolgen könnten. So spähten einschlägige Firmen das digitale Leben der Nutzer aus, die sich aus Unkenntnis über die Vorgänge nicht dagegen wehren könnten.

Ring-Kunden sollten den Bürgerrechtlern besonders besorgt sein über das aufgedeckte Verhalten, da die Kameras unter dem Aspekt der Sicherheit für Haus und Hof vermarktet und Daten auch mit der Polizei geteilt würden. Nach mehreren Skandalen noch vorhandenes Vertrauen in die Videoklingeln sollte durch die Realität getrübt werden, wie die zugehörige App funktioniert. Zuvor war unter anderem bekannt geworden, dass das "smarte" Gerät WLAN-Zugangsdaten verriet und leicht gehackt werden kann. Seit Dezember häufen sich Angriffe auf die Kameras, nachdem sich tausende Passwörter dafür im Netz verbreiteten. (mho)