Aktuelles, Branche - geschrieben von dp am Donnerstag, Juli 28, 2016 18:02 - noch keine Kommentare
Pokémon GO: Reale Datenschutz-Probleme durch virtuelle Monster
Neue Augmented-Reality-App mit großem Datenhunger
[datensicherheit.de, 28.07.2016] Datenschutz-Bedenken meldet die PSW GROUP angesichts der immer weiter um sich greifenden neuen Augmented-Reality-App „Pokémon GO“ für Smartphones an. Damit werden kleine virtuelle Monster in die reale Welt projiziert, sie kann aber auch zu unklaren Datenabflüssen führen.
„Pokémon GO“ verlangt sehr viele Zugriffsrechte
Mit Hilfe von GPS stoßen die Nutzer dieser App auf mehr als 100 „Pokémons“, die sie einfangen und gegeneinander kämpfen lassen. Vor Kurzem sei das Spiel aus den USA nach Deutschland gekommen und führe seither nahezu alle App-Charts an. Kurzweilig und spaßig sei die App wohl, dafür jedoch verlange „Pokémon GO“ sehr viele Zugriffsrechte – so greife unter „Android“ die Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus rufe „Pokémon GO“ Daten aus dem Internet sowie Netzwerkverbindungen ab, steuere den Vibrationsalarm, führe Pairing mit Bluetooth-Geräten durch, verwende Konten auf dem Gerät und deaktiviere den Ruhezustand des Smartphones.
Aufgrund der Augmented-Reality-Basis des Spiels sei die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um „Pokémon GO“ nutzen zu können, sei ein Großteil der Berechtigungen unabdingbar. „Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.
Erstellung von Bewegungsprofilen
So äußere die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt würden, „die zur Identifizierung genutzt werden können“.
Welche Daten aber wie gespeichert werden, gehe nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen, erläutert Heutger. Durch die GPS-Informationen werde zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. „Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, warnt Heutger.
Datenschutzrichtlinie ganz nach dem Motto „Friss oder stirb!“
Zwar sei nicht alles an der Datenschutzrichtlinie negativ, denn immerhin sei sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren seien durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen.
Es falle jedoch auf, dass sich Niantic weitgehend unklar ausdrücke. „Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Heutger. Dies äußere sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“
Schwammig formuliert sei auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet […]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern […]“.
Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, falle der Konjunktiv extrem auf: Nahezu jeder Absatz beginne mit „Wir könnten…“. Heutgers Kritik hierzu: „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet.“
Die Datenschutzrichtlinie sei ganz nach dem Motto „Friss oder stirb!“ gestaltet: Entweder der Nutzer lasse sich gefallen, dass seine Daten wichtiger als deren Schutz seien, oder er fange gar nicht erst an zu spielen. Denn einmal angemeldet, verblieben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, würden archiviert und munter weiterverwendet. „In welchem Land das geschieht, ist unklar“, so Heutger.
Christian Heutger kritisiert unklare Datenweiterverwendung
Weitere Informationen zum Thema:
PSW GROUP, 15.07.2016
Pokémon GO: virtuelle Monster bringen reelle Datenschutz-Probleme
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren