Einer Analyse zufolge liefern iPhones und Android-Geräte konstante Daten an Apple und Google – auch nach Opt-out. Die Konzerne sehen methodische Fehler.
Nach einer neuen Studie zufolge übertragen iPhones und Android-Geräte im Durchschnitt alle 4,5 Minuten Daten an den Betriebssystemhersteller – auch in einer Minimalkonfiguration ohne Nutzer-Log-in und bei Inaktivität des Gerätes. Dabei senden die Smartphones unter anderem die IMEI, eine eindeutige Seriennummer des Telefons, die Hardware-Seriennummer, die Seriennummer der SIM, die IMSI, die Teilnehmer in Mobilfunknetzen identifiziert und die Mobilrufnummer an Apple oder an Google, heißt es in dem von Doug Leith, Professor für Computersysteme am Trinity College Dublin, veröffentlichten Paper.
Datenübermittlung auch nach Opt-out
Zudem erfasst Apple die MAC-Adressen von anderen Geräten im WLAN sowie den zugehörigen Standort – auch wenn die Ortungsdienste aktiviert wurden. Dem Forscher zufolge übermitteln beide Betriebssysteme selbst nach einem Opt-out durch die Nutzer, Telemetrie-Daten. Der Test wurde mit iOS 13.6.1 auf einem iPhone 8 sowie Android 10 auf einem Google Pixel 2 durchgeführt – beide Geräte waren gerootet respektive jailbroken. Zur Installation des Mitmproxy-Setup hat Leith auf Github eine Anleitung veröffentlicht, sodass sich die Ergebnisse der Studie selbst nachstellen lassen.
Innerhalb der ersten zehn Minuten übermittelt ein frisch aufgesetztes iPhone42 KByte an Apple, das verwendete Google Pixel übertrage gleich 1 MByte – das zwanzigfache an Daten, so die Studie. Das Pixel-Smartphone sendet im Standby-Modus alle 12 Stunden rund 1 MByte an Daten zu Google, das iPhone übermittle im gleichen Zeitraum 52 KByte – im Durchschnitt erfolge rund alle 4,5 Minuten eine Kontaktaufnahme zu den Servern der Hersteller und wird in Paper protokolliert.
Auch Apps und Dienste nehmen neben dem Betriebssystem Kontakt zum Hersteller auf, etwa auf iOS Siri, der Browser Safari und iCloud. Auf Android wollen YouTube, Chrome, Google Docs, Google Messaging, Safetyhub, Uhr und Google-Suchleiste den Hersteller kontaktieren.
iPhone-Setup braucht Internetverbindung
Doug Leith betont, es gute Gründe Für die Übermittlung von Telemetrie-Daten an den Hersteller und sie sei nicht per se ein Eingriff in die Privatsphäre. Dennoch ist es leicht mit dem erfassten Daten, einzelne Nutzer zu identifizieren. Sobald sich Nutzer mit ihrem Account anmelden, um etwa Apps zu installieren, könnten die Daten verknüpft werden, so der Forscher.
Für iPhone-Nutzer gebe es praktisch keinen Weg, der Übermittlung der Daten an Apple zu entkommen, weil schon das Setup eine Internetverbindung erfordert. Unter Android sei es möglich, das Gerät auch ohne Netzverbindung zu starten und anschließend alle Google-Komponenten zu deaktivieren – das verhindere den Großteil der Datenweitergabe. Apps müssen dann aus Dritt-Quellen statt aus Google Play bezogen werden.
Weil schon das Setup eine Internetverbindung erfordert, gebe es praktisch keinen Weg für iPhone-Nutzer der Übermittlung der Daten an Apple zu entkommen. Unter Android sei es möglich, das Gerät auch ohne Netzverbindung zu starten und anschließend alle Google-Komponenten zu deaktivieren – das verhindere den Großteil der Datenweitergabe.
Google betonte in einer Stellungnahme gegenüber Ars Technica, man könne nicht nachvollziehen, dass Android 20-mal mehr Telemetrie-Daten übermittelt als iOS. Es gebe in der Studie bei der Messung der übertragenen Datenmenge methodische Fehler. Die Studie zeige ansonsten nur, wie Smartphones funktionieren, dazu zähle auch die Übermittlung der Daten, um Geräte funktionsfähig und auf aktuellem Stand zu halten.
Zudem wolle Google eine Dokumentation zu den von Android erhobenen Telemetrie-Daten veröffentlichen, merkt Leith an. Auf seine Anfragen habe Apple vor der Veröffentlichung nicht reagiert, führt der Wissenschaftler aus. Als Hintergrundinformationen von Apple hieß es gegenüber Ars, das Paper stelle Dinge falsch dar, man biete Datenschutzfunktionen und informiere über die Sammlung von Ortsdaten.