Article note: Nicht so richtig gut, aber eine Lösung!

„Payments“. Jenes Wort sollte als Begründung ausreichend genug sein, um den Entwickler der beliebten App für Nahverkehrs-Informationen darauf aufmerksam zu machen, warum man jene aus dem Google Play Store warf. Mittlerweile hat sich zumindest geklärt, was sich das Unternehmen dabei gedacht hatte. Der Entwickler hätte demzufolge noch einmal Hand an die App legen müssen, damit eine Chance auf Wiedereinstellung bestanden hätte.

Allem Anschein nach werden Fans der App aber auch weiterhin darauf warten müssen, Öffi auf dem offiziellen Weg über den Google Play Store installieren oder updaten zu können. Mittlerweile ist es so, dass der Entwickler von Öffi, der eh schon zahlreiche Open Source-Komponenten einsetzte, seine App in Version 10 GPLv3-lizenziert. Der Quellcode der App vom Entwickler auf GitLab offengelegt und parallel ganz offiziell zum F-Droid-Repository (hier erhältlich) hinzugefügt.

Danke Jan! 

-> Zum Beitrag Öffi: App nun unter GNU General Public License 3 und offiziell über F-Droid verfügbar

-> Zum Blog Caschys Blog

Unser Feedsponsor:

Article note: #moschee!

Ich habe zwar erstmal Urlaub, was diesen Montag für mich mehr als nur erträglich macht, aber das geht ja nicht allen so.

Article note: #nasowas!!1! #appremoved

Über den Messenger Wire hatte ich in der Vergangenheit schon berichtet. Auf dem Digitalcourage-Treffen am Wochenende fiel Jan auf, dass der Messenger den Analyse Anbieter Mixpanel (Firmensitz USA) integriert – dieser Dienstleister ist schon im Zusammenhang mit dem mySugr-Fall negativ in Erscheinung getreten.

Wir stocherten also etwas im Quellcode der Wire-App für Android und wurden dann fündig. Im build.gradle wird eine Mixpanel Abhängigkeit (Bibliothek) eingebunden. Zeile 137:

mixpanel : 'com.mixpanel.android:mixpanel-android:5.2.3',

Sucht man über den gesamten Quelltext nach dem String »mixpanel« findet man weitere Details.

Diesen Fund wollte ich dann noch mit einem Netzwerkmitschnitt des App-Datenverkehrs bestätigen. Dazu habe ich mir Wire aus dem Play Store in der Version 3.12.623 heruntergeladen. Unmittelbar nach dem Start der App wird eine Verbindung zu »api.mixpanel.com« (und einer weiteren Adresse) aufgebaut und folgende Informationen übermittelt:

POST /track?ip=1 HTTP/1.1
Content-Length: 827
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: api.mixpanel.com
Connection: close
Accept-Encoding: gzip, deflate

data=W3siZXZlbnQiOiJJbnRlZ3JhdGlvbiIsInByb3BlcnRpZXMiOnsibXBfbGliIjoiQW5kcm9pZCIsIiRsaWJfdmVyc2lvbiI6IjUuMi4zIiwiJG9zIjoiQW5kcm9pZCIsIiRvc192ZXJzaW9uIjoiNy4xLjIiLCIkbWFudWZhY3R1cmVyIjoiWGlhb21pIiwiJGJyYW5kIjoiWGlhb21pIiwiJG1vZGVsIjoiUmVkbWkgTm90ZSA0IiwiJGdvb2dsZV9wbGF5X3NlcnZpY2VzIjoiYXZhaWxhYmxlIiwiJHNjcmVlbl9kcGkiOjQ4MCwiJHNjcmVlbl9oZWlnaHQiOjE5MjAsIiRzY3JlZW5fd2lkdGgiOjEwODAsIiRhcHBfdmVyc2lvbiI6IjMuMTIuNjIzIiwiJGFwcF92ZXJzaW9uX3N0cmluZyI6IjMuMTIuNjIzIiwiJGFwcF9yZWxlYXNlIjo2MjMsIiRhcHBfYnVpbGRfbnVtYmVyIjo2MjMsIiRoYXNfbmZjIjpmYWxzZSwiJGhhc190ZWxlcGhvbmUiOnRydWUsIiRjYXJyaWVyIjoiIiwiJHdpZmkiOnRydWUsIiRibHVldG9vdGhfZW5hYmxlZCI6ZmFsc2UsIiRibHVldG9vdGhfdmVyc2lvbiI6ImJsZSIsInRva2VuIjoiODUwNTNiZjI0YmJhNzUyMzliMTZhNjAxZDkzODdlMTciLCJsaWIiOiJBbmRyb2lkIiwiZGlzdGluY3RfaWQiOiJjN2RjYjE1ODkzZjE0OTMyYjFjMzFiNWZiMzNmZjY2OSJ9fV0%3D

Wenn wir die Base64-Codierung rückgängig machen, ergibt das:

[{"event":"Integration","properties":{"mp_lib":"Android","$lib_version":"5.2.3",
"$os":"Android","$os_version":"7.1.2","$manufacturer":"Xiaomi","$brand":"Xiaomi",
"$model":"Redmi Note 4","$google_play_services":"available","$screen_dpi":480,
"$screen_height":1920,"$screen_width":1080,"$app_version":"3.12.623",
"$app_version_string":"3.12.623","$app_release":623,"$app_build_number":623,
"$has_nfc":false,"$has_telephone":true,"$carrier":"Unitymedia","$wifi":true,
"$bluetooth_enabled":false,"$bluetooth_version":"ble",
"token":"85053bf24bba75239b16a601d9387e17","lib":"Android",
"distinct_id":"c7dcb15893f14932b1c31b5fb33ff669"}}]7

Diese Informationen werden unmittelbar nach dem Start von Wire übermittelt – noch bevor man als Nutzer überhaupt eine Entscheidung für »private Nutzung« oder »Organisation« getroffen hat. In der Datenschutzerklärung zu Wire wird der Nutzer über den integrierten App-Tracker nicht aufgeklärt. Eine weitere Analyse des Netzwerkverkehrs habe ich nicht durchgeführt.

Für mich persönlich ist es unbegreiflich, weshalb Wire die eigene Reputation auf’s Spiel setzt und einen US-amerikanischen App-Tracker / App-Analysedienst in die App integriert. Zumal Wire ja auch eher die daten- und sicherheitsbewussten Anwender adressiert. Aus meiner Sicht manövriert sich Wire damit selbst ins Abseits.

Dieser Fund zeigt deutlich, dass gerade auch quelloffene Programme / Apps immer mal wieder kontrolliert werden müssen. Vertrauen ist gut – Kontrolle ist besser.

Hinweis

Um es mal ganz deutlich zu machen: Ein Messenger, der möglichst sicher und datenschutzfreundlich sein möchte, integriert keine (App-)Tracking-Bibliotheken. Das Ziel sollte sein auf (Drittanbieter-)Bibliotheken und unnötige Abhängigkeikeiten möglichst zu verzichten.

Mitmachen: Unterstütze den Blog mit einem Dauerauftrag!

Article note: #soootrue! :-|
Berlin (dpo) - Was für ein glückliches Land! Bis auf die Flüchtlingspolitik gibt es aktuell kein einziges Problem in Deutschland, das ein Handeln der Bundesregierung erfordert. Das ergab ein Blick auf die seit Monaten herrschende politische Debatte in Parteien, Medien und sozialen Netzwerken.
mehr...