Dieser Blogpost wurde im Rahmen des Seminars Critical Data Studies an der TUM im Sommersemester 2018 verfaßt. Der Post gibt einen Ausblick auf die Seminararbeit.
Jodel – eine App mit der man, nach eigenen Angaben anonym, mit Mitmenschen in der Umgebung kommunizieren und sich über Neuigkeiten, Veranstaltungen oder eigene Erlebnisse austauschen kann.
Die Nutzer verbreiten was ihnen gerade durch den Kopf geht, kommentieren ihre Meinung und bewerten die Posts anderer. Ohne zu wissen wer sich im eigenen Umfeld überhaupt befindet, entdeckt man so die Themen für die sich andere Menschen interessieren und kann selbst aktiv an den Unterhaltungen teilnehmen.
Genau diese Anonymität ist vermutlich auch der Grund für die große Beliebtheit der App (über 1 Mio. Downloads). Niemand kann für seine Nachrichten verurteilt werden und kann ohne Hemmungen seine Gedanken preisgeben.
Doch hier liegt die Gefahr: Was ist wenn doch jemand meine preisgegebenen, vielleicht auch sehr privaten, Informationen auf mich zurückführen kann? Kann ich mich darauf verlassen, dass Jodel mein persönlichen Daten nicht weitergibt?
Diese Fragen möchte ich im folgenden untersuchen und versuchen zu beantworten.
Um userspezifische Inhalte anzuzeigen, muss Jodel verständlicherweise speichern, um welchen User es sich handelt. Dazu wird die einzigartige Device-ID des Smartphones benutzt, mit der Apps ein Gerät eindeutig bestimmen können. Gelangt dieser Code von Jodel in die falschen Hände, zum Beispiel einem App-Anbieter mit persönlichen Daten, könnte das Jodel-Profil zu einer Person zugeordnet werden. Hinzu kommt der Zugriff auf den genauen GPS-Standort, der die wohl kritischste Information darstellt. Konkrete personenbezogene Daten werden von Jodel allerdings nicht benötigt.
An wen gehen diese Daten offiziell noch?
Ein erster Blick in die Datenschutzerklärung der App zeigt dass sehr wohl Daten weitergegeben werden, bis auf eine Ausnahme, alle angeblich anonym. Bei der Ausnahme handelt es sich um die Polizei, die sich mithilfe eines richterlichen Beschlusses die IP Adresse eines Nutzers aneignen darf. Dazu kommt es, wenn jemand zum Beispiel einen Amoklauf oder eine Straftat androht http://www.faz.net/aktuell/feuilleton/medien/anonymitaet-schuetzt-nicht-vor- strafverfolgung-14276376.html (08.06.18).
Weitere in der Datenschutzerklärung genannte Datenempfänger sind Tools zur Datenübertragung und zur Analyse von Nutzerverhalten, die aber vorgeblich nur anonyme Daten bekommen.
Zur Überprüfung ob die vorhin bereits erwähnten Tools die einzigen Parteien sind, die Daten erhalten, und ob darunter wirklich keine persönlichen Informationen sind, nutzte ich die Apps Lumen Privacy Monitor und SSL Packet Capture, die von anderen Apps ausgehende Datenpakete erfassen und aufzeichnen. Erstere gibt dabei eine Liste der Paketempfänger und auf welche kritischen Daten sie zugreifen aus, während mit der zweitgenannten auch konkrete Inhalte eingesehen werden können.
Das Aufzeichnen aller Pakete und deren Inhalte war hingegen leider nicht möglich. Die SSL Packet Capture schränkte den Internetverkehr anderer Apps, auch den der überwachten, nämlich so stark ein, sodass sie nicht mehr richtig nutzbar sind. So wurden zwar teilweise ausgehende Datenpakete erfasst, die Antworten dagegen waren meist unbrauchbar.
Jeder Domainname, an den Datenpakete gingen, passte zu einem von Jodel angegebenen Tools. Allerdings konnte ich teilweise den Inhalt der Pakete in menschlich lesbarer Sprache sehen, wodurch es mir möglich war, nach persönlichen Daten zu suchen.
Abbildung 1 zeigt einen Ausschnitt aus einem an graph.facebook.com geschickten Paket. Zu erkennen sind dabei Angaben zu Android-Version, Smartphone-Modellnummer, Sprache, Zeitzone und Netzbetreiber, Informationen die auf mich zurückführen zum Glück nicht. Ähnlich sieht es bei anderen Tools der Datenanalyse aus.
Selbst bei einem absichtlich herbeigeführten Absturz der App konnte ich keine persönlichen Informationen erkennen, obwohl die Werkzeuge der Crashanalyse laut Lumen Privacy Monitor die Device-ID kennen sollten.
Ein weiteres mögliches Datenleck könnten die Services zur Datenübertragung sein. In einem Paket an das Tool für Datentransfer, -analyse und -speicherung, branch.io, fand ich sogar meine Device-ID. Die Datenschutzerklärungen von branch.io und Jodel versichern aber, dass die Daten für die Analyse zur Verbesserung der App verwendet werden.
Darüber hinaus wird auch Amazon CloudFront genutzt.
“Amazon CloudFront ist ein Webservice, mit dem Sie statische und dynamische Web-Inhalte wie HTML-, CSS-, .js- und Bilddateien schneller für Ihre Benutzer bereitstellen können. CloudFront stellt Ihre Inhalte über ein weltweites Netzwerk von Rechenzentren bereit, den sogenannten Edge-Standorten“ (https://docs.aws.amazon.com/de_de/AmazonCloudFront/latest /DeveloperGuide/Introduction.html 10.06.18).
So kommt auch Amazon in Kontakt mit meiner Device-ID. Zwar konnte ich keine Hinweise finden, inwiefern die Informationen in Abbildung 2 genau verwendet werden, ein wenig beängstigend ist jedoch schon allein die Weitergabe.
Ich werde weiterhin mit anderen Apps oder Tools versuchen, möglichst viele, der noch nicht abgegriffenen Pakete zu untersuchen, auch um die Weitergabe von Standortinformationen zu prüfen. Darüber hinaus werde ich den Vorgang, bei einem Handywechsel das Jodel-Profil mithilfe des iCloud/Google – Accounts zu übertragen, betrachten und analysieren. Was sich vermutlich als zu schwierig herausstellt, ist die Ermittlung, inwieweit die Dienste zur Datenübertragung die Informationen abgreifen oder sogar speichern.
Die Datenweitergabe von Jodel macht für mich, alles in allem, einen relativ sicheren Eindruck. Die Device-ID und der Standort sind für Jodel notwendige Parameter. Und auch Dienste zur schnellen Datenübertragung und zur Nutzerverhaltensanalyse sind für eine App existenziell. Dadurch dass es mir nicht möglich war, alle möglichen Pakete einzusehen, bleibt natürlich aus, wer sehen kann, was ich in der App von mir gebe und welche Unterhaltungen mir gefallen. Trotzdem war die Überprüfung aufschlussreich und lässt mich die App weiterhin ohne Zweifel nutzen.
Felix Bergmann, gegenwärtig im 6. Semester des Bachelorstudiums Informatik an der Technischen Universität München.