„Don’t be evil“

Google ist wie ein Junkie, ständig auf der Suche nach neuen Datenquellen, die die bereits angehäuften Datenschätze weiter anwachsen lässt. Google will alles wissen. In einem Interview mit James Bennet hat Aufsichtsratschef CEO Eric Schmidt gesagt:

With your permission you give us more information about you, about your friends, and we can improve the quality of our searches.
We don’t need you to type at all.
We know where you are.
We know where you’ve been.
We can more or less know what you’re thinking about.

„Don’t be evil“, direkt übersetzt„sei nicht böse“, war jahrelang und bis zum 21. April 2018 das inoffizielle Motto von Google, niedergeschrieben in Googles internem Mitarbeiterhandbuch, dem Code of Conduct. Der überarbeiten Version des 'Code of Conduct' vom 4. Mai 2018 fehlt jede Bezugnahme auf„Don’t be evil“. Ist Google seit dem nicht mehr„nicht böse“? Hier ist der entsprechende Abschnitt des alten Verhaltenskodex (Google Code of Conduct), der am 21. April 2018 von der Wayback Machine archiviert wurde ([Frei übersetzt von ungoogled]:

„Don’t be evil.“ Sei nicht böse. Googler wenden diese Worte im Allgemeinen darauf an, wie wir unseren Nutzern dienen. Aber "Don't be evil" ist viel mehr als das. Ja, es geht darum, unseren Nutzern einen unvoreingenommenen Zugang zu Informationen zu bieten, sich auf ihre Bedürfnisse zu konzentrieren und ihnen die besten Produkte und Dienste zu bieten, die wir können. Aber es geht auch darum, ganz allgemein das Richtige zu tun - die Gesetze zu befolgen, ehrenhaft zu handeln und Mitarbeiter mit Höflichkeit und Respekt zu behandeln.

Der Google-Verhaltenskodex ist eine der Möglichkeiten, wie wir "Don't be evil" in die Praxis umsetzen. Er basiert auf der Erkenntnis, dass alles, was wir im Zusammenhang mit unserer Arbeit bei Google tun, an den höchstmöglichen Standards für ethisches Geschäftsverhalten gemessen wird und werden sollte. Wir legen die Messlatte sowohl aus praktischen als auch aus ehrgeizigen Gründen so hoch: Unser Engagement für die höchsten Standards hilft uns, großartige Mitarbeiter einzustellen, großartige Produkte zu entwickeln und treue Nutzer zu gewinnen. Vertrauen und gegenseitiger Respekt zwischen Mitarbeitern und Nutzern sind die Grundlage unseres Erfolgs, und wir müssen sie uns jeden Tag aufs Neue verdienen.

Bitte lesen Sie also den Kodex und befolgen Sie sowohl seinen Geist als auch seinen Wortlaut, wobei Sie immer daran denken sollten, dass jeder von uns persönlich dafür verantwortlich ist, die Grundsätze des Kodex in seine Arbeit einzubeziehen und andere Googler dazu zu ermutigen. Und wenn Sie eine Frage haben oder der Meinung sind, dass einer Ihrer Kollegen bei Googler oder das Unternehmen als Ganzes unseren Verpflichtungen nicht nachkommt, sollten Sie nicht schweigen. Wir wollen - und müssen - von Ihnen hören.

Google missbraucht seine marktbeherrschende Stellung

Einige Fakten über das Google-Betriebssystem Android und die Sammlung persönlicher Daten. Im 'Google Android' Betriebssystem (Operating System - OS) inkludiert sind:

DNS (Domain Name Service): Google DNS-Server (wie 8.8.8.8 und 8.8.4.4) werden in Android standardmäßig verwendet. Dadurch kann Google potenziell alle Aufrufe von Internetservern und -diensten vom Betriebssystem oder von Anwendungen, die vom Benutzer ausgeführt werden, verfolgen.

Connectivity Check: Beim Einschalten eines Android-Telefons wird eine Konnektivitätsprüfungsfunktion als HTTP-Anfrage an einige Google-Server ausgeführt, um sicherzustellen, dass der Internetzugang in IPv4 und IPv6 verfügbar ist. Dadurch erfährt Google, dass ein Google Android-Gerät gestartet wurde.

NTP (Netzwerk-Zeitprotokoll). Traditionell werden NTP-Server von freiwilligen Organisationen auf der ganzen Welt unterhalten, um jedes Betriebssystem bei der Synchronisierung mit der korrekten Zeit über das Internet-Netzwerk zu unterstützen. Google betreibt seine eigenen NTP-Server und Android verwendet standardmäßig Google NTP-Server.

Die Komponente "Google Play Services" bietet den Anwendungen eine Reihe von Diensten an. Einer dieser Dienste ist der "Network Location Provider". Dabei handelt es sich um einen Geolokalisierungsdienst, der in einigen Fällen die Geolokalisierung schneller und effizienter macht, insbesondere bei der Verwendung in Gebäuden. Standardmäßig wird der Google-Geolokalisierungsdienst verwendet. Google kennt daher den geografischen Standort aller Android-Smartphones mit Internetzugang in Echtzeit und weltweit.

Die von den Anwendungen in Google Android verwendeten Push-Benachrichtigungen nutzen die Google Push-Benachrichtigungsdienste über die GCM/FCM-Cloud-Messaging-Infrastruktur.

Der Application Store (App Store) in Google Android ist standardmäßig der Google Play Store. Seine API ist nicht öffentlich und die Nutzungsbedingungen des Google Play Store verbieten den Zugriff auf den Google Play Store, ohne den offiziellen Dienst zu nutzen. Der Google Play Store ist in keiner Weise interoperabel.

Die SafetyNet-Funktion in Google Android bietet Anwendungsentwicklern und -herausgebern die Möglichkeit, zu überprüfen, ob das Smartphone, auf dem die Anwendung läuft, so genannt "sicher" ist. Diese Funktion macht es selbst seriösen Android-Anbietern schwer, Anwendungen, die diese Funktion nutzen, zum Laufen zu bringen. Es ist auch allgemein anerkannt, dass SafetyNet den Anwendungen eigentlich keine Sicherheitsgarantie bietet: Falsch-positive und falsch-negative Ergebnisse sind in jedem Fall möglich.

Der Webbrowser Google Chrome wird standardmäßig in Google Android installiert, wobei die Google-Suche standardmäßig eingestellt ist. Google Chrome verwendet standardmäßig DoH (DNS über HTTPS) zu Google DNS-Servern, was es Google möglicherweise ermöglicht, den gesamten Browserverlauf des Nutzers in Echtzeit zu verfolgen.

Eine der ersten Anfragen, die Chrome stellt, ist an den Google-Konten- und ID-Verwaltungsdienst (GAIA). Mit dieser Anfrage wird versucht, den Benutzer mit einem bestehenden Google-Konto zu verknüpfen. Google Chrome stellte über 90 (i.W. neunzig) Netzwerkanforderungen an mindestens fünf verschiedene Top-Level-Domains (googleapis_com, google_de, gstatic_de, gvt1_com, googleusercontent_com), die alle zu Google LLC gehören. Bei der Abfrage von Metadaten für Doodles (die künstlerischen Varianten des Google-Logos) teilte Chrome Google beispielsweise harmlos mit, dass die Daten für die neue Registerkarte bestimmt waren.

Übertragung von Tastatureingaben und eingefügten Inhalten. Google Chrome überträgt alle Tastatureingaben an google com/complete/search, die in die Adressleiste eingegeben und aus dieser gelöscht werden. Das Gleiche wurde beobachtet, als "password" in die Adressleiste eingefügt und anschließend wieder entfernt wurde.

Bei der Eingabe jedes Zeichens in die Adressleiste sendete Chrome diese Eingabe ("q") an Google. Jede Anfrage enthält mindestens 7 (und bis zu 14) Datenelemente. Die meisten dieser Werte standen in keinem Zusammenhang mit dem Nutzer und/oder seiner Anfrage. Chrome erkannte die Art des verwendeten Geräts ("gs_ri"), wo in der Anwendung/UI diese Anfragen ihren Ursprung hatten ("client"), ob eine Präambel für die seitenübergreifende Skripteinbindung in die Antwort aufgenommen werden sollte ("xssi"), die aktuelle Position des Cursors ("cp"), die zu verwendende Suchversion ("gs_rn"), ein 12 Byte großes, base64-kodiertes, 60 Sekunden langes Sitzungs-Token ("psi"), die Klassifizierung der aktuellen Seite ("pgcl") und einen API-Schlüssel ("sugkey"). Dies ergab eine Überprüfung von Sampson, Senior Developer Relations Specialist bei Brave.

Es ist fast unmöglich, Android ohne ein Google-Konto zu verwenden, das im laufenden Betriebssystem eingerichtet ist. Gmail, früher googlemail, und sie wird in den meisten Fällen sofort mit einem Google Gmail-Konto konfiguriert. Gmail-E-Mails werden serverseitig nicht verschlüsselt: Google hat Zugriff auf sie und räumt in den GMail-Dienstebedingungen implizit ein, dass alle Gmail-Inhalte automatisch analysiert werden. Payment - Zahlungslösung: Google Pay standardmäßig in Google Android.

Google Advertising ID

Jedes Smartphone mit Betriebssystem Android oder iOS hat eine soge­nannte Werbe-ID. Das ist eine lange Folge von Zahlen und Buchstaben. Zugeteilt wird diese Kennnummer vom Hersteller des jeweiligen Be­triebssystems, also von Google oder Apple. Die Werbe-ID hat verfolgt primär das Ziel, personalisierte Werbung zu schalten. Werbung ist das Geschäftsmodell sehr vieler "kostenloser" Apps

Technisch funktioniert das so: Der Entwickler baut einen fertigen Soft­ware-Baustein von dem Werbenetzwerk in seine App ein. Nun kann das Werbenetzwerk direkt Werbung in der App anzeigen. Dabei versucht die Werbefirma, Ihnen Themen bezogene Anzeigen zu zeigen, für die Sie sich besonders interessieren. Dazu greift es auf eine Datenbank zurück, in der bereits viele Nutzerprofile liegen. In jedem Profil ist auch die zuge­hörige Werbe-ID notiert.

Bevor nun die Werbung in Ihrer App eingespielt wird, fragt die Werbe­firma Ihre Werbe-ID vom Gerät ab und gleicht sie mit der Datenbank ab. Befindet sich ein Profil mit Ihrer Werbe-ID in der Datenbank, schaut die Werbefirma nach, was in diesem Profil steht. Steht dort zum Beispiel, dass dieser Nutzer wahrscheinlich männlich und Bartträger ist, schaltet das Werbenetzwerk Werbung für passende Produkte.

Zwar kann der Benutzer ständig manuell sein Werbe-ID ändern und auch sein Einverständnis für Nutzung der Werbe-ID widersprechen, aber einfacher und sicherer ist es, wenn so eine Werbe-ID erst garnicht im Smartphone Betriebssystem drinnen steckt. Wie das in der Praxis aussehen kann, erfahren Sie hier.

img
img
Big Tec is watching you

Die Untersuchung »Contact Tracing App Privacy: What Data Is SharedBy Europe’s GAEN Contact Tracing Apps« von Douglas J. Leith, Stephen Farrell, School of Computer Science & Statistics, Trinity College Dublin, Ireland 18th July 2020, zeigt unmissverständlich auf, wie schamlos und beträchtlich Google seine Nutzer auskundschaftet. Nahezu alle Android-Nutzer, die die Google Play Dienste auf ihrem Gerät installiert haben, sind davon betroffen.

Die Google Play Services (GooglePlay-Dienste) kontaktieren ständig die Google Server und geben die IP-Adresse und IMEI des Android Telefons, die Hardware- und SIM-Serien- und die Telefonnummer, die WiFiMAC-Adresse sowie E-Mail-Adresse des Nutzers zusammen mit feinkörnigen Daten über die auf dem Telefon ausgeführten Apps (Nutzerstatistiken von Apps) an Google weiter. Diese Datensammlung wird einfach durch Aktivieren der Google Play Services aktiviert, auch wenn alle anderen Google-Dienste und -Einstellungen deaktiviert sind.

»Ich kann nur an jeden appellieren, dem seine Daten noch am Herzen liegen. Tut was und steht nicht an der Seitenlinie, wenn Google und Co. ungeniert eure Daten abschöpfen und damit Umsatz machen.« ↪ Mike Kuketz in seinem Block Kuketz IT-Security. Neben seiner freiberufenliche Tätigkeit als Penetrationstester die IT-Systeme prüft er sicherheitsrele­vante Schwachstellen und arbeitet auch »Technisch-organisatorischer Datenschutz, Datensicherheit« bei der Dienststelle des Landesbeauf­tragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

img
Scheinheiliges Google
Ein neuer Sicherheitsbereich in Google Play soll Transparenz darüber schaffen, wie Apps Daten nutzen.

"New safety section in Google Play will give transparency into how apps use data" titelt Google am 6. Mai 2021 seinen Android Developer Blog und kündigt damit die im zweiten Quartal 2022 für Entwickler verpflichtetende neue Praxis an. Das hört sich doch schon einmal recht erfreulich an.

Im Google Play Store gelistete Android-Apps müssen in Zukunft direkt dort angeben, welche Daten sie sammeln und wie mit ihnen umgegangen wird. Dazu soll ein Sicherheitsbereich auf den Play-Store-Seiten der Anwendungen einrichtet werden, der diverse Fragen rund um den Umgang mit Daten übersichtlich beantworten soll. In diesem Sicherheitsbereich müssen Entwickler angeben, welche Daten ihre App sammelt – also etwa den Aufenthaltsort des Nutzers, persönliche Informationen, Fotos und gespeicherte Kontakte. Außerdem müssen die Die Entwickler erklären, wie diese Daten verwendet werden.

Google schiebt allein den App-Entwicklern den 'schwarzen Tracking Peter' zu und "vergisst" seinen permanent tätigen Spion 'Google Play-Dienste' zu entwanzen. Don't be evil, Google!

img
Google Play Services vs. MicroG Services
/e/ - Android ganz ohne Google

nutzen - titelt die PC Welt von IDG vom 07.04.2021. »Das Betriebssystem /e/ macht es möglich, Android-Smartphones ohne Google zu verwenden. Das Mobiltelefon lässt sich dabei so einfach bedienen und inklusive der meisten Apps nutzen wie zuvor ...

Bei unserer Stichprobenkontrolle waren – abgesehen von den Google-eigenen Apps wie Google Maps – über 80 Prozent der Anwendungen verfügbar: darunter Whatsapp, Spotify, Dropbox, DB Navigator (Bahn), die TV-Mediatheken und viele mehr. Einzelne wie die Corona Warn-App aber funktionieren nicht, weil sie auf Google-Dienste angewiesen sind.«

Diese Aussage ist nicht haltbar! Seit im Mai/Juni 2020 die für die Entwicklung der Corona-Warn-App von der Bundesregierung via Robert-Koch-Institut (RKI) beauftragten DAX-Unternehmen SAP und Telekom/T-Systems - nebenbei: Mit 7 Millionen Euro Steuergeldern von der EU subventioniert - ein erster Code auf Github veröffentlicht wurde, um danach eine halbwegs funktionierende App zu präsentieren, seitdem habe ich mit der /e/Community speziell diese App, aber auch andere europäische Corona-Apps getestet, beispielsweise Dutch Coronamelder App, StopCovid France, Stopp Corona Austria, SwissCovid, Belgian Coronalert App, (British) NHS Covid-19 App.

Alle funktionierten mit dem /e/OS nebst microG mit wenigen Einschränkungen. So konnte bei der britischen Version die Funktion ‘Venue check-in’ nicht benutzt werden, weil der App-Code extrem nah an den Google-Play-Diensten programmiert wurde.

Parallel dazu wurden alle Corona-Warn-Apps mit LineageOS-for-microG ebenfalls erfolgreich getestet. Das vom deutschen Entwickler Marvin Wißfeld entwickelte alternative Open Source microG-Framework interpretiert Google’s Überwachungswanze, die Google Play Services aka Googel Play-Dienste, und ermöglicht so das Benutzen weit über 80% aller Google-Play-Services abhängigen Apps.

Marvin Wißfeld hat auch im Alleingang und ohne Steuergeldzuschüsse eine hochgradig europaübergreifende 'Corona Contact Tracing Germany' entwickelt und pflegt diese kontinuierlich. Diese App funktioniert nicht nur mit microG sondern auch mit den original Google Play Services. OTA-Updates erfolgen über den 'F-Droid Store'.

img
Google liest mit
Google wertet E-Mails weiterhin automatisiert aus, selbst wenn man Gmail selbst nicht nutzt.

Als Gmail-Nutzer sollte man sich vor Augen führen, dass jede ein- und ausgehende E-Mail von Google automatisiert gescannt bzw. analysiert wird. Google verwendet die Inhalts- bzw. Meta-Daten lediglich nicht mehr für interessenbezogene Werbung.

Aus den E-Mails lassen sich eine Menge an Erkenntnissen gewinnen, die Google bspw. einem Profil zuordnen kann: Mit wem man wann in Kon­takt steht, Betreff, Absender, Links, Stichwörter, Auslesen aller Kalender­einträge (bspw. Vereinssport, Paarberatung), Auswertung von Daten­punk­ten wie z.B. Wohnort, Alter, Bildungsniveau, Hausgröße, Interessen.

Wer Gmail selbst nicht nutzt, aber Kon­takt mit Gmail-Adresen pflegt, darf davon ausgehen, dass Google auch diese Mails scannt. Und nicht nur E-Mail. Auch Fotos und Videos, die Sie speichern, Dokumente und Tabellen, die Sie erstellen, und Kommentare, die Sie zu YouTube-Videos schreiben, werden ausgewertet. Ein Gmail-Nutzer mag der Auswertung seiner E-Mail-Inhalte zugestimmt haben.

Doch für jemanden, der kein Gmail-Konto besitzt, gilt diese Vereinbar­ung nicht – und dennoch werden beim Versenden an Gmail-Konten auch »fremde« Inhalte gescannt und ausgewertet. Wer Gmail nicht nutzt, sollte seine Kommunikation mit Gmail-Kontakten kritisch gegen­überstehen. Denn niemand kann garantieren, dass Google keine Schat­tenprofile anlegt, wie sie bspw. Facebook über Nicht-Nutzer anlegt." warnt Mike Kuketz in seinem Microblog am 31.03.2021, 11:58 MESZ

An Google's Tropf
Abhängigkeiten von Google Play Services aka Play-Dienste.

Zwar ist das Betriebssystem Android™ Open Source, aber viele der Anwendungen hängen von den Google Play Services ab. Diese "Service" Software ist proprietär, das bedeutet, dies ist eine Software deren Nutzung und Weiterverbreitung durch Google LLC stark eingeschränkt wird, über Softwarepatente, das Urheberrecht und Lizenzbedingungen.

Erschwert wird die Nutzung zusätzlich, dass Standards und Schnittstel­len nicht öffentlich gemacht werden. Von Android Version zu Android Version hat Google immer mehr Teile des offenen Betriebssystems in das geschlossene Goolle-Dienst verschoben. Die Konsequeznen daraus sind u. a., das eine Vielzahl von Apps ohne installiertes GMS nicht oder nicht rich­tig funktionieren. Google hat Abhängigkeiten geschaffen, de­nen sich die eine übergroße Mehrheit an App-Entwicklern beugt.

In zwei Dritteln der mehr als 2,5 Millionen Android Apps im Google Play Store stecken Tracker, selbst in den allermeisten kostenpflichtigen Apps, einige harmlos, andere ein Risiko für die Privatsphäre. Die sogenannten Tracker agieren meist unbemerkt im Hintergrund und protokollieren die digitalen Bewegungen des Benutzers.

ungoogled 31.10.2021

Ohne Google kein PayPal

Der Online Zahlungsdienst 'PayPal' ist extrem eng mit Google verknüpft. Werden beispielsweise Verbindungen zu Google-Adressen mittels einer benutzerdefinierten hosts-Datei (Domain Blocklists) unterbunden, findet PayPal keine Anschluss an seine Server und der Zahlungsvergang kann nicht ausgeführt werden …

Was ist die hosts-Datei?
Die hosts-Datei stellt eine lokale Konfigurations-Textdatei dar, die der festen Zuordnung der Host-Namen mit IP-Adressen dient. Die hosts-Datei ermöglicht es auch, den Besuch bestimmter Webseiten zu unterbinden. Dies kann auch sinnvoll sein, wenn Internetseiten Schad-Code beinhalten. Als schadhaft eingestufte Webseiten werden auf den sogenannten localhost (127.0.0.1) umgeleitet und lassen sich im Anschluss nicht mehr besuchen. Einsatz findet hosts bei mir noch bei der festen Zuordnung lokaler und virtueller Computernetze (LAN).

Meine hosts-Datei wird gerne von Microsofts mit Windows 8.1 | 10 | 11 mitgeliefertem Anti-Malware Tool Defender als 'HostFileHijack' eingestuft und attakiert. Sobald ich dort Eintragungen vornehme, die microsoft.com, windows.com, live.com, vsgallery.com oder windowsazure.com enthalten oder darauf enden, ruft das den Defender auf den Plan. Er ersetzt die Datei durch die mit Windows gelieferte Standardversion. Abhilfe schafft bei mir eine 'BlackList' im DSL Router. Die Blacklist ist die Filterliste, in der die gesperrten Internetseiten eingetragen sind.

ungoogled 31.10.2021
Tracker als Android-App„getarnt“

Die Tracker werden von den Herstellern als Android-App "getarnt" und gelangen so auf das Smartphone. Durch die Installation werden die Anwendungen (Apps) mit Berechtigungen ausgestattet, die es ihr erlauben, die Daten des Benutzers aufzuzeichnen und Zugriff auf bestimmte Bereiche auf das Smartphone zu bekommen.

↪ Exodus Privacy hat nicht nur einmal mehr als 30 (i.W. dreißig) Tracker in einer Apps gefunden. Drei bis 10 Tracker in einer Apps sind "üblich". Das gesammelte Benutzerverhalten wird zusammengetragen und in maßgeschneiderte Werbung umgesetzt. Exodus Privacy ist eine Datenschutz-Auditing-Plattform für Android-Anwendungen und nach französischen Gesetz von 1901 anerkannte Non-Profit-Organisation. Diese Organisation wird von Hacktivisten geführt, die die Privatsphäre überall schützen wollen.

Ob und in wie weit eine Anwendung (App)„Tracker verseucht“ ist, kann schon vor der Installation geprüft werden, indem Namen, das Handle oder die Google Play-URL ↪ hier eingegeben werden.

ungoogled 31.10.2021
Google's Milliarden-Deal$

Der Werbeumsatz von Google LLC ist stetig gestiegen und überschritt im Jahr 2018 erstmals die Grenze von 100 Milliarden US-Dollar. Im Jahr 2020 stiegen die die Werbeumsätze auf rund 146,92 Milliarden US-Dollar (Quelle Statista GmbH). Vergleichen Sie diese Zahlen einmal mit den Zahlen der fünf größten deutschen DAX-Unternehmen …

Im dritten Quartal 2020 belief sich der Umsatz von Alphabet Inc. auf rund 46,17 Milliarden US-Dollar. Der größte Umsatzanteil wurde dabei mit rund 46 Milliarden US-Dollar von Tochterunternehmen Google beigesteuert. Für das erste Quartal 2021 hat Alphabet Inc. einen Gewinn (!!!) in Höhe von rund 17,93 Milliarden US-Dollar ausgewiesen. Im Vorquartal belief sich der Gewinn noch auf rund 15,23 Milliarden US-Dollar. Alphabet | Google macht in drei Monaten so viel Gewinn, wie nur wenige Unternehmen Umsatz im Jahr. Die im März 2019 von der EU-Kommission verhängte Kartellbuße in Höhe von 1,7 Milliarden US-Dollar hat Alphabet | Google quasi aus der Portokasse bezahlt.

Mike Kuketz 16.11.2021
Google Chrome
Datensendeverhalten Desktop-Version – Browser-Check Teil21

»Im Rahmen der Artikelserie »Browser-Check« von Mike Kuketz, IT-Security, werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.«

Fazit

Google versucht erst gar nicht für Privatsphäre oder Datenschutz zu werben. Angesichts der vorliegenden Ergebnisse wäre das auch völlig daneben. Im Grunde ist Chrome nur für jene empfehlenswert, die schon jetzt Google nutzen bzw. kein Problem damit haben, dass Google alle Informationen über einen selbst zentral speichert und auswertet. Datenschutzsensible Nutzer sollten hingegen einen großen Bogen um Chrome machen.

Persönlich möchte ich gar nicht wissen, welche Daten zwischen dem Browser und Google übermittelt werden, wenn jemand tatsächlich sein Google-Konto verknüpft. Dass Google den Nutzer ohne seine Einwilligung trackt dürfte ebenso wenig überraschen, wie die Übermittlung jeder Download-URL an den Tech-Konzern.

ungoogled 15.10.2021

Massive Datenschnüfflerei von Google, Huawei, Realme, Samsung und Xiaomi

Die Google Play Services aka Google Play-Dienste, sind seit Jahren dafür bekannt, personenbezogene Daten von den Nutzern bzw. den Android-Geräten zu sammeln und an Google in Realtime zu übermitteln (siehe weiter oben). In einer Studie fanden Sicherheitsforscher um Douglas J. Leith, School of Computer Science & Statistics, Trinity College Dublin, Ireland, 25th March, 2021 heraus, dass Android-Geräte von Google im großen Umfang Daten an den Konzern schicken, auch wenn man diese Übermittlung von Telemetrie-Daten eigentlich abgestellt wähnte. Sie kommen dabei zu dem Schluss, dass alle Geräte außer denen mit /e/-OS "große Mengen an Informationen an die Betriebssystem-Entwickler und Drittfirmen" verschicken. Und das schon, wenn der Nutzer kaum eigene Apps installiert. Außerdem sei es bei den meisten dieser Dienste unmöglich°, die Datensammelwut einzuschränken, geschweige denn sie ganz zu unterbinden.

- - - - -
°unmöglich - nicht wirklich, denn das Blockieren ausgehender Daten, wie bspw. Telemetrietraffic, ist selbst bei Android Geräten ohne sog. 'rooten' möglich - mit NetGuard No-Root-Firewall.

Kürzlich haben die Forscher Haoyu Liu, Paul Patras, Douglas J. Leith, University of Edinburgh, UK 2Trinity College Dublin, Ireland Smartphones von Firmen wie Samsung, Xiaomi und Huawei untersucht. Sie übermitteln umfangreiche Telemetriedaten, was sich nicht abstellen lässt.

Professor Doug Leith und seine Kollegen vom Trinity College in Dublin haben sich in einer wissenschaftlichen Veröffentlichung »Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets« die Daten angeschaut, die von werksseitig vorinstallierten Apps auf in Europa verkauften Geräten der Hersteller Samsung, Xiaomi, Huawei, Realme, LineageOS und /e/-OS verschickt werden. Dazu gehören die Apps von Google (samt den Play Services und dem App Store der Firma) und andere System-Apps von Facebook, Microsoft und LinkedIn. Sie kommen dabei zu dem Schluss, dass alle Geräte außer denen mit /e/-OS "große Mengen an Informationen an die Betriebs­system-Entwickler und Drittfirmen" verschicken. Und das schon, wenn der Nutzer kaum eigene Apps installiert. Außerdem sei es bei den meisten dieser Dienste unmöglich, die Datensammelwut einzuschränken, geschweige denn sie ganz zu unterbinden.

Auch LineageOS, obwohl oft als datenschutzfreundliche Alternative zu Google beworben, sendet demnach Daten an Google. Die LineageOS-Entwickler bestreiten dies allerdings und merken an, dass die Forscher aus Dublin das optionale Drittanbieter­ Paket OpenGApps installiert hätten, welche Googles Apps auf den Geräten der Hersteller nachrüstet. Werksseitig seien diese Apps nicht installiert, so die Lineage-Entwickler. Man empfehle Open-Source-Alternativen wie F-Droid und MicroG.

img

Tabelle I fasst die Daten von jeder der untersuchten Android OS-Varianten zusammen. Die wissenschaftliche Veröffentlichung vom 6. Oktober 2021 »Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets« hier in vollem Umfang als PDF-Dokument. »Immerhin sehen die Forscher einen Lichtschimmer: "/e/-OS [der e.foundation, Paris] sammelt so gut wie keine Daten, es ist bei Weitem die Privatsphäre-freundlichste Android-Version" loben sie das Google-freie Betriebssystem.«

Zusammenfassend lässt sich sagen, dass /e/OS im Wesentlichen keine Daten sammelt und ist in diesem Sinne die bei weitem privatste der untersuchten Android OS-Varianten, die wir untersucht haben. Auf allen anderen Handgeräten senden die Google Play Services und die System-Apps des Google Play Store eine eine beträchtliche Menge an Daten an Google, deren Inhalt unklar und nicht öffentlich dokumentiert ist und Google bestätigt, dass es Google bestätigt, dass es keine Möglichkeit gibt, sich von dieser Datenerfassung abzumelden.

LineageOS sammelt keine Daten, die über diese von Google gesammelten Daten hinausgehen, und ist daher vielleicht die die nächste private Wahl nach /e/OS.

Wir beobachten, dass das Realme Gerätedaten sammelt, einschließlich Details zu installierten Apps, aber nicht mehr. Die Geräte von Samsung, Xiaomi und Huawei sammeln Details der Benutzerinteraktionen mit dem Gerät, zusätzlich zu den Geräte-/App-Daten. Von diesen sammelt Xiaomi die die umfangreichsten Daten über Benutzerinteraktionen, einschließlich des Zeitpunkts und die Dauer jedes App-Fensters, das von einem Nutzer betrachtet wird. Auf dem Huawei-Mobiltelefon ist es die Microsoft Swiftkey-Tastatur, die Interaktionen des Nutzers mit Apps, Huawei selbst sammelt selbst sammelt nur Geräte- und Anwendungsdaten. Wir Wir beobachten, dass Samsung Daten über die Interaktion der Nutzer mit ihren eigenen System-Apps, aber nicht allgemeiner. [Zitat, Seite 3; frei übersetzt von ungoogled]

Es ist bekannt, dass Google Play Services und der Google Play Store große Mengen an Handydaten an Google sendet und langlebige Gerätekennungen sammelt, obwohl bis vor bis vor Kurzem ein bemerkenswerter Mangel an Messstudien herrschte. Andere Google-Apps wie YouTube und Gmail senden ebenfalls Handydaten und Telemetriedaten an Google.

Es ist erwähnenswert, dass das Volumen der von Google hochgeladene Datenvolumen erheblich größer ist als das Datenvolumen, das an andere Parteien. Es ist zu erkennen, dass keine Daten an die LineageOS oder /e/OS-Entwickler hochgeladen werden. [Zitat, Seite 7; frei übersetzt von ungoogled]

VII. SCHLUSSFOLGERUNGEN
Wir präsentieren eine eingehende Analyse der Daten, die von den Samsung, Xiaomi, Huawei, Realme, LineageOS und /e/OS Varianten von Android. Wir stellen fest, dass, mit der bemerkenswerten Ausnahme e/OS, selbst bei minimaler Konfiguration und im Ruhezustand des Geräts diese herstellerangepassten Android-Varianten selbst im Leerlauf erhebliche Mengen an Informationen an den Betriebssystementwickler und auch an Drittanbieter (Google, Microsoft, LinkedIn, Facebook usw.), die Systemanwendungen vorinstalliert haben.

Während eine gelegentliche Kommunikation mit OS-Servern zu erwarten ist, geht die beobachtete Datenübertragung geht weit darüber hinaus und wirft eine Reihe von Bedenken hinsichtlich des Datenschutzes. [Zitat, Seite 12; frei übersetzt von ungoogled]

Alternatives to Google products

Sven Taylor 28.11.2021
Kleine Schritte zur Wiederherstellung Ihrer Privatsphäre

Angesichts der wachsenden Besorgnis über den Online-Datenschutz und die Sicherung persönlicher Daten ziehen immer mehr Menschen Alternativen zu Google-Produkten in Betracht. Schließlich dreht sich das Geschäftsmodell von Google im Wesentlichen um Datenerfassung und Werbung. Mehr Daten bedeuten gezieltere Werbung und folglich mehr Einnahmen für Google. Das Unternehmen hat im Jahr 2020 über 146 Milliarden Dollar an Werbeeinnahmen erzielt - und diese Zahl steigt jedes Jahr weiter an. Übersetzt von ungoogled.

With growing concerns over online privacy and securing personal data, more people are considering alternatives to Google products. After all, Google’s business model essentially revolves around data collection and advertising. More data means better targeted ads and consequently, more revenue for Google. The company pulled in over $146 billion in ad revenue in 2020 -- and that number climbs higher every year.

Anmerkung von ungoogled: Sven Taylor ist der Herausgeber von Restore Privacy einem Blog, der über die besten Praktiken zum Schutz der Privatsphäre im Internet informiert, Ihre elektronischen Geräte schützt, die Sperrung von Inhalten aufhebt und Zensur bekämpft. Der o. g. Gastbeitrag in TechSpot zeigt umfangreiche Alternativen zu sehr vielen Google-Produkten auf.

Virenscanner-Apps: Trügerische Sicherheit.

Mike Kuketz 29.11.2021
Virenscanner-Apps sind schlichtweg überflüssig

"Angesichts der wachsenden Besorgnis über den Online-Datenschutz und die Sicherung persönlicher Daten ziehen immer mehr Menschen Alternativen zu Google-Produkten in Betracht. Schließlich dreht sich das Geschäftsmodell von Google im Wesentlichen um Datenerfassung und Werbung. Mehr Daten bedeuten gezieltere Werbung und folglich mehr Einnahmen für Google. Das Unternehmen hat im Jahr 2020 über 146 Milliarden Dollar an Werbeeinnahmen erzielt - und diese Zahl steigt jedes Jahr weiter an."

Sicherheit zählt zu den Grundbedürfnissen des Menschen. Übertragen auf die digitale Welt bedeutet das: Niemand möchte Schadsoftware auf seinem Gerät haben, über die er ausgespäht oder erpresst werden kann. Vor diesem Hintergrund ist es nachvollziehbar, wenn sich besorgte/verängstigte Nutzer Virenscanner-Apps auf ihren mobilen Endgeräten (Android/iOS) installieren. Die regelmäßigen (Schreckens-)Meldungen zu Trojanern, Viren und anderer Schadsoftware (engl. Malware) tun ihr Übriges.

Wie im vorliegenden Beitrag aufgezeigt, schränkt die Sicherheitsarchitektur (Sandbox-Modell) von Android/iOS die Funktionsweise von Virenscanner-Apps derart ein, dass diese nicht wirksam/zuverlässig arbeiten können. Apple hat Virenscanner-Apps daher nicht ohne Grund aus dem App Store entfernt. Der Sicherheitsgewinn ist kaum bzw. nicht vorhanden – eher das Gegenteil: Durch die Installation einer Virenscanner-App stellt sich beim Nutzer ein falsches/trügerisches Sicherheitsgefühl ein. Als Folge installieren sich Android-Nutzer womöglich Apps/APKs aus dubiosen Quellen, anstatt auf vertrauenswürdige App-Stores (Google Play Store, F-Droid) zu setzen.

Wer seine Apps ausschließlich aus etablierten App Stores wie dem Google Play Store, F-Droid oder Apples App Store bezieht, muss keinen zusätzlichen Virenscanner installieren. In Wirklichkeit liegen die Gefahren woanders: Phishing, Mobilfunk-Abzocke/Abo-Fallen, falsche Gewinnspiele, Geräteverlust etc. stellen unmittelbare Bedrohungen dar, vor denen insbesondere eine gesunde Portion Skepsis/gesunder Menschenverstand schützen kann.

Gesundheitsbehörde hat »Infektionsfall simuliert«

Stefan Kremple, @heise online 08.01.2022
Mainzer Polizei ermittelte rechtswidrig mit Daten aus der Luca-App

Für die Suche nach Zeugen bei einem Todesfall fragten die Fahnder missbräuchlich Kontaktinformationen aus dem Luca-System ab. Die Ermittler machten laut dem Bericht mithilfe der Datenabfrage Besucher einer Gaststätte in der Mainzer Innenstadt aus. Sie wollten diese als mögliche Zeugen für das tragische Geschehen gewinnen, bei dem ein Gast der Wirtschaft Ende November offenbar gestürzt und später seinen Verletzungen erlegen war.

Die Informationen können laut Luca nur bereitgestellt werden, ...

wenn das jeweilige Gesundheitsamt und der jeweilige Betrieb in einem Infektionsfall gleichzeitig ihr Einverständnis erteilen und ihre individuellen Schlüssel anwenden, um die Daten zu entschlüsseln". In diesem Fall habe wohl die Mainzer Gesundheitsbehörde auf Druck beziehungsweise Bitten der Polizei "einen Infektionsfall simuliert und das Einverständnis des Betriebs auf Bereitstellung der Daten eingeholt. Strafverfolger dürfen auf Informationen aus dem umstrittenen Luca-System, das in vielen öffentlichen Einrichtungen zum Registrieren von Besuchern eingesetzt wird, in der Regel schon aufgrund Paragraf 28a des Infektionsschutzgesetzes des Bundes aus datenschutzrechtlichen Gründen nicht zugreifen. Auch die Landesregierung Rheinland-Pfalz erklärt auf ihrer Webseite, dass die anhand der Luca-App gewonnenen Daten nicht für "andere Zwecke" jenseits der Kontaktnachverfolgung zum Gesundheitsschutz verwendet werden dürften. Dies schreibe auch § 1 der Corona-Bekämpfungsverordnung des Landes vor.

Zu Kontaktinformationen von Nutzern der Luca-App erreichen die Betreiber des Systems nach eigenen Angaben "fast täglich" Anfragen von Polizei und Staatsanwaltschaft. Weiter zum Originalbeitrag auf heise online .

img

DB Schnüffel-Navigator

img
digitalcourage II. 2022
DB Schnüffel-Navigator

Die Bahn-App „DB Navigator” ist voll mit Trackern, die uns überwachen. Digitalcourage klagt dagegen. Denn wir wollen Bahn fahren – nicht Daten liefern.

Wer viel Bahn fährt, kennt sie bestimmt:

Die DB Navigator-App. Ohne diese App geht es kaum noch. Informationen über Verspätungen und Anschlusszüge, die aktuelle Wagenreihung und die Möglichkeit zum Ticketkauf an Bord – die App bietet viele nützliche Funktionen und manche Services sind auf anderem Wege gar nicht mehr zu bekommen. So macht die Bahn die App unentbehrlich. Gleichzeitig gibt der DB Schnüffel-Navigator viele persönliche Informationen weiter – ohne dass Nutzer.innen sich dagegen wehren könnten.

Was ist das Problem bei der App?

Öffnet man den DB Navigator, wird eine Abfrage eingeblendet.

Es kann gewählt werden zwischen „Alle Cookies zulassen”, „Cookie-Einstellungen öffnen” und „Nur erforderliche Cookies zulassen”. Doch auch mit der privatsphärefreundlichsten Variante – „Nur erforderliche Cookies zulassen” – sind wir nicht sicher vor der massenhaften Weitergabe von Informationen über uns.

Es sind insgesamt zehn Unternehmen und Dienstleister, deren Mitwirkung laut Bahn angeblich zwingend erforderlich ist, und an die deshalb Daten abfließen – ohne das wir Nutzer.innen das abschalten könnten.

[…] Das ist besonders schlimm, weil … Weiter zum Originalbeitrag auf digitalcourage .

img

Bilder Markus Hamid, CC-BY 4.0 | Digitalcourage e.V., Bielefeld

img
HUAWEI WATCH D
Finger weg, wer Wert auf Datenschutz legt

Die HUAWEI WATCH D ist eine Smartwatch der besonderen Art.

Diese App benötig außerdem zwingend eine Internetverbindung, für die Kopplung der Smartwatch wird neben Bluetooth auch noch der Standort aktiviert und es muss eine SIM-Karte eingelegt werdem. Bis zu diesem Zeitpunkt sind bereits viele Daten an Huawei geflossen.Stimmt der Benutzer nicht zu und lehnt die sogenannten "Huawei Services" ab, wird die App beendet. »Damit ist bereits eine der Mindestanforderungen an eine Einwilligung nicht erfüllt: Die Freiwilligkeit. Da die Nutzung der HUAWEI WATCH D ohne Einwilligung nicht möglich ist, kann von Zwang gesprochen werden.« so der Tester Mike Kuketz.

Bis zu diesem Zeitpunkt fließen übrigens schon eine Menge Gerätendaten (Modell, eindeutige Android-ID usw.) an Huawei – natürlich ohne Einwilligung des Benutzers. Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Der Zugriff auf die Informationen der Gerätedaten berührt die Integrität/Privatsphäre der Endeinrichtung des Nutzers und unterfällt somit dem Anwendungsbereich des TTDSG.

img
Datenschutz und Sicherheit:
Android vs. iOS – Teil 1

Android oder iOS? Welches System hat beim Schutz der Privatsphäre die Nase vorn?

3. Zwischenfazit: Beim Schutz seiner Daten kann sich der Nutzer weder auf Google noch Apple verlassen.

»Aufgrund der Entkoppelung von Google hat Android (GrapheneOS) hinsichtlich des Datenschutzes meilenweit die Nase vorn. Weder Android (Standard) noch iOS können da mithalten – diese sind zu eng mit dem jeweiligen Hersteller verbandelt und übermitteln selbst dann noch Daten, wenn der Nutzer alle Schieberegler/Einstellungen möglichst datenschutzfreundlich justiert hat. Übrigens: Die Entkoppelung von Google ist kein Alleinstellungsmerkmal von Android (GrapheneOS). Es gibt noch weitere Systeme wie CalyxOS oder LineageOS, die ebenfalls eine autarke bzw. selbstbestimmte Nutzung erlauben.«

Nicht vergessen werden sollten die beiden auf Android basierenden Custom ROMs /e/OS by e.foundation und iodéOS by iodé.tech, 'Made in Paris und Toulouse, France'

Google Play-Dienste
Die Play-Dienste übersenden alle 20 Minuten … Benutzerdaten an die Google LLC, USA, … Hardware Seriennummer,

IMEI des Geräts, IP-Adresse, Nutzerstatistiken von Apps, SIM-Karte Serien- und Telefonnummer an die Google LLC. Davon betroffen sind im Grunde alle Android-Nutzer, die die Google Play Services auf ihrem Gerät installiert haben.

Die Google Play Services aka Google Play-Dienste, Erstveröffentlichung 26.09.2012, sind seit Jahren dafür bekannt, personenbezogene Daten von den Nutzern bzw. den Android-Geräten zu sammeln und an Google in Realtime zu übermitteln, einschließlich Standort- und Werbeverfolgung. Der große Funktionsumfang der Google Play-Dienste erfordert weitreichende Zugriffsberechtigungen auf das Android-Smartphone, die automatisch ohne Rück­frage erteilt sind.

Die Google Play-Dienste übersenden alle 20 Minuten E-Mail-Adresse, Hardware Seriennummer, IMEI des Geräts, IP-Adresse, Nutzerstatistiken von Apps, SIM-Karte Serien- und Telefonnummer an die Google LLC. Davon betroffen sind im Grunde alle Android-Nutzer, die die Google Play Services auf ihrem Gerät installiert haben.

Wer das "nach Hause telefonieren" seines eigenen Android Gerätes nicht mehr akzeptieren möchte, also will, dass das es aufhört Informationen an Google weiterzugeben, der muss sich von den Google Play-Diensten und den entsprechenden Google-Apps trennen. Die sicherste Methode ist, ein ganz neues Android™ Betriebssystem auf dem Smartphone und Tablet zu installieren, das ohne Google „Services“ auskommt.

img
NONgoogle.ORG Webseite auch als Progressive Web App (PWA) installierbar.

Die Progressive App meiner Webseite nongoogle.org, die ähnliche Funktionalität wie eine native Anwendung aufweist, ist auch ohne Internet-Verbindung nutzbar und kann auf dem Homescreen der mobilen Geräte installiert werden - ebenso auf Windows 10 und 11 PCs mit auf Chromium-Technik basierenden Browsers wie Microsoft Edge, Chrome, Brave, Firefox und anderen.

Progressive Web Apps haben ihre Vorteile gegenüber nativen Apps: Sie müssen nicht über die App-Stores á la Google Play Store, HUAWEI AppGallery, Microsoft Windows App Store oder Aplle App Store der verteilt werden.

So geht's
Seedvault Backup
img

Seedvault ist eine unabhängige Open-Source-Datensicherungs- und Wiederherstellungsanwendung für Android und abgeleitete mobile Betriebssysteme. Durch die Speicherung der Daten von Android-Benutzern an einem vom Benutzer ausgewählten Ort und durch die Verwendung einer clientseitigen Verschlüsselung zum Schutz der gesicherten Daten bietet SeedVault Benutzern maximalen Datenschutz und Ausfallsicherheit mit nur wenigen Tip-Taps.

Während jeder Smartphone-Nutzer mit umfassenden Datensicherungen für den Fall des Verlustes oder Diebstahls seines Handys gewappnet sein möchte, möchte nicht jeder Android-Nutzer seine sensiblen Daten dem Cloud-basierten Speicher von Google anvertrauen. Durch das Speichern von Daten außerhalb der Reichweite von Google und die Verwendung einer clientseitigen Verschlüsselung zum Schutz aller gesicherten Daten bietet Seedvault Benutzern maximalen Datenschutz bei minimalem Aufwand.

img

Googbye Google'Sicherung' auf 'Google Drive sichern'. Seedvault ermöglicht es Android-Benutzern, ihre Telefondaten zu speichern, ohne auf den proprietären Cloud-Speicher von Google angewiesen zu sein. Benutzer können entscheiden, wo das Backup ihres Telefons gespeichert wird, z.B. auf ein externes USB-Flash-Laufwerk bis hin zu einer selbst gehosteten NextCloud Instanz.

Seedvault wird inzwischen mehrheitlich von CustomROM Entwicklern als 'die' Open-Source Android Backup Lösung ins CustomROM als System-App implementiert, namentlich CalyxOS, DivestOS /e/OS, GragheneOS, LineageOS und LineageOS-for-microG (by Marvin-Wißfeld-Team).

Ungoogled Chromium
Datensendeverhalten Desktop-Version – Browser-Check Teil2

»Im Rahmen der Artikelserie »Browser-Check« von Mike Kuketz, IT-Security, werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.«

Ungoogled Chromium Browser
img
Vivaldi vs. Google Chrom:
3 Dinge, die in Vivaldi besser funktionieren …

Der Chromium-Browser Vivaldi für Windows, macOS, Linux und Android blockiert jetzt serienmäßig die Google-API 'Idle Detection', die mit Chromium 94 eingeführt wurde, für mehr Datenschutz und weniger Tracking. Zudem unterstützt der Browser jetzt erstmals auch die Progressive Web Apps (PWA).

Die Google-API 'Idle Detection' kann Websites und Web-Apps darüber informieren, ob der Anwender mit seinem System interagiert oder ob dieses sich im Idle befindet. Die Entwickler von Vivaldi schalten die API sowohl auf dem PC unter Windows, macOS und Linux als auch auf dem Smartphone und Tablet unter Android ab sofort ab. Anders als in Chrome und in anderen auf Chromium 94 basierenden Browsern können Websites und Webapps über Vivaldi zukünftig den Betriebszustand des Systems nicht mehr abfragen. Entsprechende Anfragen werden vom Browser umgehend abgewiesen. ↪ Zitat Vivaldi:

Since this API can be abused for behavioral tracking, we think it is unfair for users to be expected to understand the privacy implications of allowing a website to use it.

Therefore, this setting has been disabled by default on both desktop and Android. Unlike Chrome, Vivaldi does not let the website even ask; their requests are denied by default.

Browser für Desktop  Browser für Android  

Vivaldi Browser ohne Google Play Store herunterladen

Trojaner 'Dark Herring' aus Google Play Store

Trojaner 'Dark Herring' aus Google Play Store

Die Sicherheitsorscher der Zimperium zLabs haben eine SMS-basierte Android-Malware (Abo-Trojaner) namens „Dark Herring“ entdeckt, der aus dem angeblich schadsoftwarefreien Google Play Store bezogen werden kann. Es handelt sich dabei um einen in harmlos anmutenden Android-Apps versteckten Schädling, der seinen Opfern unbemerkt teure Abonnements aufdrückt. Die erfahren meist erst dann von ihrem Unglück, wenn die hinter der Software stehenden Gauner ihre Beute über die Handy-Rechnung einziehen. Dark Herring maskiert sich in einer normal aussehenden App, um den Schein aufrechtzuerhalten. Tatsächlich können Benutzer diese Apps sogar häufig verwenden. Auf diese Weise stellen die Cyberkriminellen sicher, dass die Apps lange nach der Erstinstallation auf dem Gerät verbleiben. Einige der an der Dark Herring-Malware beteiligten Apps stammen aus dem März 2020 Die aktuellste stammt aus dem November 2021.

Auf  Github.com   finden Sie eine Auflistung aller mit Dark Herring kompromittierten Anwendungen. Die umfasst Spiele wie "Football Legends", "City Bus Simulator 2" und "Smashex Pro" sowie diverse andere unscheinbare Apps. Darunter etwa Übersetzungs-Tools, Wallpaper-Galerien sowie Bild- und Videobearbeitungs-Software.

img
Upcycling Android

Die Free Software Foundation 'fsfe' wirbt zur "Europäischen Woche der Abfallvermeidung" für den Umstieg von Android auf freie Systeme wie die Custom-ROMs CalyxOS oder LineageOS.

img
img

"Jedes Jahr produzieren Hersteller weltweit 1,5 Milliarden Handys. Leider würden wahrscheinlich fast genauso viele 'nach einer oft kurzen Nutzungsdauer weggeworfen'. Dies sei immer mehr auf geplante 'Software-Obsoleszenz' zurückzuführen, erläuterte die FSFE. Mehr

Lesetipp:
»Ich bin nicht willkommen, merke ich schnell.«, notiert der Autor in seinem Artikel „Nachhaltigkeit: Wie die Industrie Reparaturen sabotiert“ auf heise online, 20.05.2021. Mehr

Tracking durch Identitätsprovider

»Damit das Tracking mit E-Mail-Adresse funktioniert, muss nun beständig zentral geprüft werden, wo eine Person eingeloggt und identifizierbar ist. Diese Aufgabe übernehmen die Identitätsprovider: Sie vermitteln bei Bedarf die Login-Information zwischen den zwei Seiten der Werbebranche«

»Für meine Recherche habe ich stichprobenartig ein paar Dutzend der bekanntesten Websites in Deutschland besucht und den Datenverkehr analysiert. Das Ergebnis: Die Dienste sind noch kein Standard, aber doch bei vielen großen Seiten auffindbar. Während einige Seiten die Identitätsprovider einigermaßen rechtskonform konfigurieren, gibt es vor allem bei den Medienhäusern einige schwarze Schafe, die Besucher illegal ausspionieren, teilweise mit strafbaren Methoden«

zum Artikel
img

Threema. "Der Messenger mit Fokus auf Sicherheit und Privatsphäre.

Garantierte Privatsphäre, beste Verschlüsselung, Open Source. "Threema ist so konzipiert, dass keine Datenspur entsteht. Die gesamte Kommunikation ist immer vollständig Ende-zu-Ende-verschlüsselt, und die App ist Open Source."

Threema bietet höchste Sicherheit und umfassenden Datenschutz. Keine Erhebung von Nutzerdaten, keine Werbung. "Kein anderer Chat-Dienst weist ein vergleichbares Mass an Sicherheit, Metadatensparsamkeit und Vertraulichkeit auf. Threema betreibt eigene Server an zwei voneinander unabhängigen Standorten in der Schweiz."

Wodurch sich Threema von Signal, Telegram und WhatsApp unterscheidet, erfahren Sie hier

Anonym chatten: Keine Handynummer erforderlich. "Jeder Benutzer generiert beim Einrichten der App eine zufällige Threema-ID. Die Verknüpfung mit einer Handynummer oder E-Mail-Adresse ist optional." Mehr

Hier können Sie die Android-Version von Threema gegen eine einmalige Lizenz-Zahlung erwerben, ohne Google Play zu verwenden. Threema.Shop

Threema Libre

Vollständige Unabhängigkeit von Google-Diensten

In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt. So kommt z.B. zur Benachrichtigung ausschliesslich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst ist von vornherein unmöglich. eil Threema Libre auch Reproducible Builds unterstützt, ist verhältnismässig einfach nachprüfbar, dass in der installierten App ein Datenabfluss zu Google ausgeschlossen ist. Mehr

img
img

TeleGuard

Schweizer Messenger ohne Datenspeicherung, hochkomlex verschlüsselt.

Der Schweizer Messenger Teleguard erfordert keine Bindung an eine Telefonnummer, es werden keine Benutzeridentifikationsdaten erfasst und keine Benutzerdaten auf den Servern gespeichert. Alle Server in den Rechenzentren der Schweiz. Komplexes Verschlüsselungssystem für alle übertragenen Daten. Unter Schweizer Datenschutzrechten und DSGVO-konform. Mehr

img

Supports Windows · Android · Apple

Sie haben Fragen?

Schreiben Sie mir ein paar Worte-
oder rufen Sie mich an!

Kontakt-Formular aufrufen
TeamWin TWRP Recovery

TWRP Recovery ist ein Open-Source-Gemein­schaftsprojekt und 'Platzhirsch' Tool im Custom Recovery Sektor. Auch sog. 'unofficial' Versionen sind eine große Hilfe.

SkyHawk Recovery Project

SHRP basiert auf TWRP, hat zusätzliche Funktionen wie Magisk Manager, SHRP Survival für A/B-Geräte, Magisk Survival und passt eine optisch hervorragend zu iodéOS.

OrangeFox Recovery

OrangeFox Recovery hat eine erhöhte Kompatibilität mit TWRP, unterstützt Treble- und Nicht-Treble-ROMs sowie Magisk.

Lineage-Recovery

Lineage's Eigenentwicklung sorgt für das reibungslose integrieren von OTA-Updates und Add-ons. NanDroid Backup und Restore ist mit dieser Recovery nicht möglich.

Spying Tracker Apps I

Beliebte 'Google Play Store' Apps: kostenlos+ Werbung+ Tracker+ Berechtigungen (B.) B. sind Aktionen , die die Anwendung auf Ihrem Telefon ausführen kann. Das Symbol zeigt ein„Gefährliches“ oder„Spezial“-Level nach Googles Schutzniveau an. Geprüft mit Exodus Privacy . Analyzes privacy concerns in Android applications.

img
img
img
img
img
img
img
img
img
img
img
img
img
img
img
img
img
img
>
img
img
Spying Tracker Apps II

»Beim Tanken Geld sparen. Seit im März 2022 die Spritpreise durch die Decke gingen, stehen Apps zum Vergleich der Tankstellenpreise hoch im Kurs.« heise-online hat sich laut Mitteilung vom 03.05.2022 sechs Tankpreis-Apps näher angesehen: 1-2-3 Tanken, ADAC Spritpreise, Bertha, Clever Tanken, Mehr Tanken und Tankschwein. Die Auswahl stützt sich auf die Popularität anhand der Downloadzahlen, Nutzerempfehlungen in einschlägigen Foren und persönlichen Empfehlungen. Die komplette Recherche wird hinter einer Bezahlschranke veröffentlicht.

Ich habe die Apps mit Hilfe mit Exodus Privacy [Analyzes privacy concerns in Android applications] auf Tracker und angeblich notwendigen Berechtigungen in der Anwendung untersucht.

img
img
img
img
img
img

Beim Tanken Geld sparen.

Aber Sie bezahlen zusätzlich auch mit ihren Daten.

»Seit 2013 sind die meisten Tankstellenbetreiber in Deutschland dazu verpflichtet, Spritpreisänderungen innerhalb von fünf Minuten an die Markttransparenzstelle für Kraftstoffe (MTS-K) zu melden. Diese dem Bundeskartellamt angeschlossene Institution hat eine Schnittstelle eingerichtet, über die Apps oder Webdienste die aktuellen Preise aller angeschlossenen Tankstellen abrufen können.«

»Damit entstand ein florierendes Ökosystem an Smartphone-Apps und Webseiten, die eine Übersicht der Spritpreise an Tankstellen um die eigene Position oder einer bestimmten Adresse liefern. Allein der Google Play Store wirft auf den Suchbegriff "Tanken" dutzende von Ergebnissen aus. Hinzu kommen viele Webseiten, die einen ähnlichen Service bieten.«

Android Tracking

Stiftung Warentest: Tracking. Was ein einziger Tag am Handy über Surfer verrät.

Protect your data.
Einen Tag lang haben wir alles protokolliert, was unser Redak­teur Martin Gobbin online mit seinem Handy macht. Wir waren nicht die Einzigen: 128 Daten­sammler haben ihn ebenfalls über­wacht. Kein Wunder: Tracking ist der Preis, den wir dafür zahlen, dass wir meist nichts zahlen, wenn wir Apps und Internet­seiten nutzen. Über­raschend: Nach­richten­seiten tracken mehr als Porno-Seiten. Weniger über­raschend: Google ist fast über­all, und auch Facebook sammelt Daten, was das Zeug hält. Artikel als PDF downlaoden

Tracking und Werbung

Die meisten Apps aus dem Android Google Play Store beinhalten Software-Bausteine von Drittanbietern, die dem Nutzer Werbung einblenden oder seine Aktivität auf Schritt und Tritt verfolgen.

Für die reine Funktionserbringung einer App oder Website ist die Einbindung von Werbung sowie die Übersendung von Trackingddten nicht erforderlich. Diese Software-Bausteine von Drittanbietern werden bewusst und aktiv von den Entwicklern dort integriert. Mein Eindruck ist, dass die Verantwortliche oft selbst nicht wissen, welche Daten diese Bausteine resp. Module (in der Fachsprache auch SDK genannt) eigentlich genau erfassen. Das ist fahrlässig und verantwortungslos, denn mit der Einbindung von Tracking-, Analyse- und Werbebausteinen geht ein unnötiges Risiko für die Sicherheit und den Datenschutz der Nutzer einher.

Datenverkehr von Android-Apps filtern – Privatsphäre schützen

Kuketz IT-Security Blog: Unnötige und rechtswidrige Datenverbindungen von Apps mit Netguard lokalisieren.

Fazit
NetGuard ermöglicht die Filterung von ausgehendem Datenverkehr. Gerade für Apps, die aus dem Google Play Store stammen, ist dies eine unverzichtbare Funktion für alle datenschutzsensiblen Nutzer und Kontrollfreaks, die keine (personenbeziehbaren) Daten an Drittparteien wie Tracking- oder Werbeanbieter weitergeben möchten. Wer NetGuard dann mal ein paar Tage genutzt hat, der wird vermutlich erstaunt/erschrocken darüber sein, wie viele unnötige und rechtswidrige Datenverbindungen von Apps initiiert werden.
img
Trackerless-Variante ohne Push-Benachrichtigungen
img
auf USB oder Cloud. Keine propritäre Google Sicherung
img
Vertraulich durch Ende-zu-Ende-Verschlüsselung

Surfshark Virtual Private Network benutzt VPN-RAM-only-Server

RAM-only-Server speichern keine Daten wie Festplatten und werden regelmäßig bereinigt.

Schütze
dein
digitales
Leben.

Schütze deine Online-Privatsphäre mit VPN.

Durchsuche das Netz, ohne getrackt zu werden und vollkommen werbefrei. Surfsharks strikte No-Logs-Richtlinie sorgt für echte Privatsphäre online. Surfshark überwacht nicht, was wir tun, und erfasst auch keine Aktivitäts- oder Verbindungsprotokolle. VPN ist die Abkürzung für Virtual Private Network (zu Deutsch: "virtuelles privates Netzwerk").

Teste Surfshark VPN ohne Risiko
image

3200+ Server, 65 Länder, 6 Kontinente.
Umgehen von Geoblocking, also künstlichen Ländersperren, mit denen Online-Dienste die Verfügbarkeit ihrer Inhalte und Produkte nach ausgewählten Regionen festlegen. Die VPN-Tarnverbindung erschwert es Dritten, deine Spuren im Internet zu verfolgen und deine Daten zu stehlen.

Alle Server
image

Browse ungestört

Verschlüssele deine Online-Aktivitäten, damit niemand deine Daten tracken oder stehlen kann. Verbirg deinen realen Standort, um Tracking zu vermeiden.

Weiter lesen
image

Ändere deine IP-Adresse

Sorge für bessere Privatsphäre und vermeide Tracking durch Rückgriff auf verschiedene IP-Adressen. Blockiere Werbung und Malware.

Weiter lesen
image

Sicherheit unterwegs

Wahre auch während der Nutzung ungeschützter öffentlichen WLAN Netzwerke deine digitale Freiheit und Sicherheit.

Weiter lesen
img

Heute ist nicht alle Tage, es geht bald weiter, keine Frage.

img

No tracking | No logging | No advertising