Die umstrittene FIFA Fussball-Weltmeisterschaft in Katar ist gegen allen Widerstand und alle Boykottversuche in vollem Gange und auch wenn das allgemeine Interesse aus offensichtlichen Gründen eher mäßig erscheint, reisten auch dieses Mal wieder hunderttausende Fans aus aller Welt an, um ihre Fussballhelden live anzufeuern. Die katarische Regierung verpflichtet dabei jeden Eingereisten zur Verwendung zweier offizieller, mobiler Applikationen, um einen unkomplizierten Aufenthalt gewährleisten zu können. Sicherlich nicht ganz unbegründet, blicken deshalb viele Nutzer mit Argwohn auf die Pflicht-Apps. Aber was genau tun diese und welchen Einfluss haben sie auf die unmittelbare Privatsphäre des Nutzers? Wir nutzen den Anlass und unterziehen die beiden Applikationen unserer brandneuen Android App Privacy Analyse, um genau diese Fragen zu beantworten.
Zweck und Funktion
Bei der ersten der beiden Applikationen, Ehteraz (com.moi.covid19; untersucht in Version 12.4.7), handelt es sich um die offizielle Kontaktverfolgungsapp des katarischen Innen- bzw. Gesundheitsministeriums. Im Prinzip erfüllt sie dieselben Aufgaben wie hierzulande die Corona-Warn bzw. CovPass App – ohne sie und der darin hinterlegte Impfnachweis kann in Katar kein Geschäft, kein Restaurant und wohl auch kein Flughafen betreten werden. Die Verwendung kann also als obligatorisch bezeichnet werden.
Die zweite Applikation, Hayya (com.pl.qatar in Version 8.1.1.3628), verspricht „das ultimative Fan-Erlebnis während der FIFA Fussball-Weltmeisterschaft – alles auf einen Knopfdruck!“. Über diese lassen sich über die offizielle Unterkunftsagentur Hotels finden und buchen, Fussballtickets kaufen oder sogar Sehenswürdigkeiten finden. Außerdem realisiert die App die digitale Version der sogenannten Hayya Card, die Einreiseerlaubnis, Bus- und Metroticket und Fan-Rabattkarte in einem darstellt – auch hier kommen Eingereiste also praktisch nicht um die Verwendung herum.
Zu beiden Applikationen ist noch anzumerken, dass sie praktisch und in vollem Funktionsumfang nur im katarischen Mobilfunknetz und mit gültigen Passdaten verwendet werden können. Da wir (völlig unverständlicherweise) keinen unserer Kollegen dazu bewegen konnten, freiwillig seine Daten für ein Experiment herzugeben, beruhen unsere Untersuchungen dementsprechend auf den Funktionen, die wir auch ohne gültige Passdaten ausführen konnten.
Berechtigungen
Im ersten Schritt einer statischen Analyse einer mobilen Android-Applikation ergibt es natürlich Sinn sich erst einmal über die grundsätzlichen Möglichkeiten einer App ins Bild zusetzen. Die angeforderten Berechtigungen geben dabei einen ersten groben Überblick darüber, was die Applikation womöglich sammeln, verarbeiten und einsehen kann.
In diesem Bereich erscheinen beide Applikationen erst einmal recht unauffällig: Die Anzahl an Berechtigungen, die potentiell angefragt werden können, hält sich in Grenzen und auch die Art der Berechtigungen lässt nicht direkt auf exzessive Datensammlung schließen: Beide Applikationen können auf Lokalisierungsdaten zugreifen und haben Zugriff auf WiFi und Internet – beides nicht verwunderlich bei der angedachten Funktionalität. Das Corona-Warn-App-Pendant Ehteraz hat zudem noch Zugriff auf Bluetooth-Funktionen, die ebenfalls wenig verwundern. Bei beiden Applikationen lassen sich allerdings auch Berechtigungen finden, die dem Nutzer zumindest suspekt erscheinen können. So beinhaltet die Ehteraz-App die com.huawei.appmarket.service.commondata.permission.GET_COMMON_DATA -Berechtigung, die auf das Vorhandensein des Huawei Android-Analytics Kit schließen lässt. Dieses erlaubt grundsätzlich die Erhebung sämtlicher Geräte-Metadaten, inklusive aller möglichen Informationen zum Gerät selbst (Marke, Modell, ROM/OS Version, Ladestand, Speicherbelegung usw.), aber auch die beispielsweise Advertising ID des Nutzers und Applikationsnutzungsstatistiken. Auch wenn das Vorhandensein des Analyse-Kits allein sicher kein Beweis für eine exzessive Datensammlung darstellt und dieses in kommerziellen Apps auch nicht selten ist, stellt sich natürlich trotzdem zurecht die Frage, warum es für eine non-kommerzielle, offizielle Applikation zur Kontaktverfolgung benötigt werden sollte.
Bei der Hayya-App, die eigentlich mit recht schlanken Berechtigungen auskommt, fällt nur eine spezielle Berechtigung auf: android.permission.HIGH_SAMPLING_RATE_SENSORS. Diese erlaubt der Applikation Daten der Gerätesensensoren, wie Beschleunigungs- und Gyrosensoren, mit der höchstmöglichen Sampling-Rate über 200Hz zu erfragen. Bei der angedachten Funktion der Applikation stellt sich auch hier die Frage, warum diese Daten überhaupt relevant sind und zusätzlich sogar noch mit höchstmöglicher Präzision.
Tracker
Bei den enthaltenen Tracking-Modulen unterscheiden sich die beiden Apps tatsächlich in größerem Maße. Wo die Kontakverfolgungs-App Ehteraz (neben dem vermuteten Huawei Kit) lediglich einen Tracker beinhaltet, sind in der Hayya eine handvoll Tracker zu finden. Das AltBeacon-Modul dient dabei tatsächlich der Funktionalität der App. Über dieses lassen sich sogenannte Bluetooth Beacons umsetzen, die untereinander interagieren und sich detektieren können. Im Prinzip wird hierüber in der Ehteraz-App, die gesamte Kontaktverfolgung über Bluetooth abgebildet. Der Tracker könnte grundsätzlich natürlich auch darüber hinaus für User-Tracking verwendet werden, was wir aber natürlich ohne konkrete Beweise nicht unterstellen wollen. Es gibt aber Gründe, warum die Corona-Warn-App beispielsweise, diese Funktionalität ohne die Verwendung von Third-Party-Modulen und quelloffen umsetzt.
Die Hayya-App enthält dann im Vergleich dazu eine ganze Liste von Analyse und Lokalisierungstools, die aber in einer App, die natürlich ohne Zweifel auch kommerzielle Funktionalität umsetzen soll, nicht weiter verwunderlich sind. Die Google-Tracker findet man heutzutage in einer Vielzahl von Applikationen und auch das Auftauchen eines Facebook-Tracker verwundert hier niemanden. Was diese Tracker können und sollen, ist mittlerweile hinreichend bekannt. Das Dynatrace-Module setzt ebenfalls Analysemöglichkeiten um, die hier aber auch unter dem Fokus Sicherheit eine Rolle spielen. Das Huawei-Kit wurde bereits erwähnt und dient auch hier den angesprochenen Zwecken. Etwas seltener, aber auch nicht ungewöhnlich ist der Urbanairship-Tracker, der unter anderem ebenfalls verschiedenen Analysezwecken dient.
Insgesamt wirkt die Ehteraz-App natürlich aus offensichtlichen Gründen aufgeräumter, aber auch die Hayya-App erscheint hier rein anhand der Betrachtung der enthaltenen Tracker und dem anvisierten Ziel der App nicht überdurchschnittlich auffällig.
Kommunikation
Auch in diesem Bereich unterscheiden sich die beiden Applikationen grundlegend: Sieht man sich beispielsweise nur die unverschlüsselte HTTP-Kommunikation beider Apps an, sieht man bei der Ehteraz-App genau eine IP zu der kommuniziert wird und übertragene Daten, die nicht unbedingt kritisch erscheinen. Bei der Hayya-App hingegen beobachtet man im selben Test dutzende IPs mit jeder Menge übertragener Geräte- und Nutzerinformationen. Zum Vergleich: Im Testbericht zu beiden Apps füllt der Teil über unverschlüsselte Verbindungen der Ehteraz-App exakt zwei Zeilen – eine IP zwei mal angesprochen, dabei übertragen, das aktuelle Datum. Der gleiche Teil für die Hayya-App belegt 64 Seiten. Fairerweise muss man allerdings auch bemerken, dass dabei die meiste Kommunikation zu den Google-Servern stattfindet. Eine Aktivität der Huawei– und Facebook-Tracker konnte hierbei nicht nachgewiesen werden.
Datenschutzerklärung
Die Datenschutzerklärungen zu beiden Applikationen lassen sich dann abschließend am besten als „in Ordnung“ bewerten: Sie sind einigermaßen detailliert und lesbar, dabei aber auch nicht ausgesprochen einfach verständlich geschrieben. Sie enthalten die wichtigsten Informationen zu Datensammlung, -haltung und -weitergabe, erwähnen aber keinen einzigen der enthaltenen Tracker namentlich. Auch für die suspekten Berechtigungen, die sich finden lassen, sucht man vergebens nach einer Erklärung, Begründung oder auch nur Nennung. Wir haben in diesem Bereich sicher schon deutlich besser ausgeführte Datenschutzerklärungen gesehen. Aber eben auch deutlich schlechtere.
Fazit
Es lässt sich sicher nicht abstreiten, dass beide Applikationen und ihre verpflichtende Verwendung, Anlass für Kritik und Argwohn bieten. Dass die dazugehörigen Datenschutzerklärungen die Chance nicht nutzen, jeden Zweifel auszuräumen, hilft dabei sicher auch nicht besonders.
Insgesamt schneidet die Ehteraz-App in der Android App Privacy-Analyse deutlich besser ab als die Hayya-App. Sie hat relativ überschaubare Berechtigungen und daher auch einen begrenzten potentiellen Funktionsumfang. Dass das Analyse-Kit von Huawei enthalten ist, wirkt hier zwar nicht unbedingt notwendig, eine exzessive Datensammlung kann deswegen aber nicht direkt unterstellt werden. In der dynamischen Analyse der Kommunikation zeigen sich diesbezüglich auch keinerlei Indizien und die App verhält sich unauffällig. Hierbei muss man allerdings auch anmerken, dass die Applikation nur begrenzt getestet werden konnte, da die volle Funktionalität nur im katarischen Mobilfunknetz gegeben ist. Hier würde nur eine vollumfängliche Code-Analyse helfen, bei über 60MB Größe allerdings auch nicht trivial.
Die Hayya-App wirkt dann im Vergleich wie eine typische kommerzielle App, wie man sie tausendfach im Playstore finden kann. Auch vom Funktionsumfang und den offensichtlich gesammelten Daten unterscheidet sie sich hier wenig von anderen „Verkaufs-Apps“. Im Prinzip wäre sie damit auch nicht auffälliger als jede andere Applikation aus dieser Kategorie. Normalerweise hat der Nutzer bei diesen Apps aber die Wahl ob er sie benutzen möchte oder nicht – bei der Hayya-App hat er diese Wahl nicht. Außerdem ist hier natürlich auch weiterhin fraglich, ob die gesammelten Daten auch ausschließlich für werbliche Zwecke verwendet werden.