NordVPN Apps haben 5 eingebaute Tracker + benötigen 15 verschiedene Zugriffsrechte auf Android

Es wurde bereits viel über die eingebauten Tracker die in den NordVPN Apps verwendet werden geschrieben. Wir haben uns nun auch diesem Thema angenommen, auch deshalb, weil App-Hersteller nun seit Monaten die Gelegenheit hatten durch die anhaltenden Diskussionen auch entsprechende unnötige Zugriffsrechte abzustellen. Bei NordVPN zeigt sich aber, dass die Tracker seit mehr als 2 Jahren auf stabilen aber hohen Niveau sind und die abgefragte Zugriffsrechte auf den Geräten auch in den vergangenen Versionen zugenommen haben.

NordVPN Apps haben 5 Tracker integriert

Derzeit sind in der aktuellen NordVPN Version 4.12.5 die folgenden 5 Tracker integriert, die meisten dazu sind von Google selbst. Wir haben uns hier die Tracker angesehen die in den Standardversionen die im Google Playstore veröffentlicht werden verwendet werden. Bei iOS dürfte dies aber ähnlich sein.

NordVPN Tracker

  1. AppsFlyer
    Webanalyse / Nutzungsanalyse
  2. Google Analytics
    Webanalyse / Nutzungsanalyse
  3. Google CrashLytics
    Systemabsturz Berichte
  4. Google Firebase Analytics
    Webanalyse / Nutzungsanalyse
  5. Google Tag Manager
    Webanalyse / Nutzungsanalyse

(Vergleich mit OVPN)

  • Keine Tracker vorhanden
    Wir vergleichen hier ebenfalls die im Playstore vorhandene App Version, welche eben auch gänzlich ohne Tracker auskommt!
    Testbericht: OVPN
Was ist ein Tracker?

Ein Tracker ist ein Stück Software, dessen Aufgabe es ist, Informationen über die Person zu sammeln, die die Anwendung benutzt, darüber, wie sie sie benutzt oder über das verwendete Smartphone.

Ein Tracker wird in der Regel von Unternehmen als SDK (Software Development Kit) vertrieben, eine Art vorgefertigtes Toolkit, das es Anwendungsentwicklern leichter machen soll. Zu beachten: Es gibt „Open-Source“-Tracker, deren Code für jeden verfügbar und offen ist.

Haben alle Tracker negative Auswirkungen auf die Privatsphäre?

Nein, nicht alle Tracker haben die gleiche Funktion und sie können unterschiedlich stark in die (Privatsphäre) eingreifen.

  • Crash-Reporter: Diese Tracker sind darauf spezialisiert, Anwendungsabstürze zu melden. Mit anderen Worten, ihr Ziel ist es, Anwendungsentwickler darüber zu informieren, dass eine App ein Problem hatte. Die Informationen, die zum Zeitpunkt des Absturzes der Anwendung gesammelt werden, ermöglichen es dem Entwickler, den Fehler zu beheben.
    (Verwendet in der NordVPN App)
  • Analyse:  Diese Tracker sollen Nutzungsdaten sammeln und dem Entwickler ermöglichen, sein Publikum besser zu kennen (z.B. zu wissen, welche Seite Sie besucht haben, oder wie lange Sie auf einem bestimmten Bereich der Seite geblieben sind).
    (Verwendet in der NordVPN App)
  • Profiling: Das Ziel dieser Tracker ist es, so viele Informationen wie möglich über den Benutzer der Anwendung zu sammeln, um ein virtuelles Profil zu erstellen. Zu diesem Zweck konzentriert sich der Tracker z. B. auf den Browserverlauf oder auf die Liste der installierten Anwendungen und so weiter.
  • Identifikation: Diese Tracker sind für die Ermittlung Ihrer digitalen Identität verantwortlich. Diese Identität kann sich auf eine offizielle Identität oder auf abstrakte Identifikatoren (Pseudonym, etc.) beziehen. Ziel ist es, z. B. die Online- und Offline-Aktivitäten einer Person zu korrelieren.
  • Ads: Diese Tracker zielen darauf ab, den Nutzer der Anwendung zu identifizieren, um ihm gezielte Werbung zu liefern. Dies ist nur möglich und relevant, wenn der Nutzer bereits ein digitales Profil angelegt hat. Das Ziel des Erstellers eines solchen Trackers ist es, seine Anwendung zu monetarisieren, d. h. durch Werbung Geld zu verdienen.
  • Standort: Diese Tracker sind darauf ausgelegt, den geografischen Standort des mobilen Geräts zu ermitteln. Dazu macht sich diese Art von Tracker mehrere Sensoren zunutze: GPS-Chips, umliegende Mobilfunkantennen, in der Umgebung vorhandene Wi-Fi-Netzwerke, nahegelegene Bluetooth-Beacons oder sogar bestimmte Geräusche, die von Lautsprechern übertragen werden.
Wer baut die diese Tracker eigentlich ein?

Um diese Fragen zu beantworten, müssen wir zunächst verstehen, wie Anwendungen erstellt werden; es gibt 2 mögliche Szenarien:

  1. Im ersten Fall vergibt die Organisation, die das Produkt besitzt, die Anwendungsentwicklung an ein Drittunternehmen. Der Vertrag legt fest, was die Anwendung leisten muss und welche Technologien dafür eingesetzt werden. Manchmal hat der Unterauftragnehmer bereits eine Anwendungsvorlage, die er für jede neue Anwendung wiederverwendet. In einem solchen Fall enthalten alle Anwendungen, die entwickelt werden, diese Tracker, unabhängig davon, ob sie im Programmiervertrag spezifiziert sind oder nicht.
  2. Im zweiten Fall entwickelt die Organisation, der das Produkt gehört, die Anwendung intern. In diesem Fall entscheiden ihre eigenen Mitarbeiter, ob sie bestimmte Arten von Trackern einbeziehen wollen oder nicht.
Warum Tracker bei NordVPN verwendet werden?

Ganz allgemein gesprochen kann NordVPN und auch die Trackeranbieter damit nachvollziehen, woher ein Nutzer kam bevor er die Apps installierte und auch welche anderen Apps er parallel auf seinen Geräten verwendet. Es ist nicht nachgewiesen, dass dadurch auch die über NordVPN verwendeten Webseiten erfasst werden, das ist auch eher ausgeschlossen. Aber natürlich dienen diese gesammelten Informationen NordVPN als auch Google um die Nutzer besser kennenzulernen. Das Google hier als Hauptempfänger von Daten eingebaut wurde ist deshalb auch problematisch, da Google auch die meisten anderen Datenquellen zum Erstellen von Profilen der Nutzer bereits erhalten hat. NordVPN Nutzer tragen da nun auch dazu bei.


Gleich viel Tracker, aber deutlich mehr Zugriffsrechte werden benötigt

Interessant ist aber wenn man sich die Verwendung der Tracker und auch der verwendeten Rechte auf den Smartphones durch die App ansieht über einen Zeitraum:

NordVPN Tracker/Rechteanfragen der Versionen
NordVPN Tracker/Rechteanfragen der Versionen

Dabei kann man sehen, dass ab der NordVPN Version 3.11.2 zwar erneut nur noch die auch aktuellen Tracker verwendet wurden, in der weiteren Folge wurden aber laufend mehr Zugriffsrechte bei den Smartphones durch die App angefragt. Ab der Version 3.17.2 wurden zudem nochmals deutlich mehr Zugriffsrechte bei den Apps verlangt.

NordVPN verlangt erweiterte Zugriffsrechte

Derzeit werden bei der neuesten Version 4.12.5 die folgenden 15 Zugriffsrechte am Smartphone genutzt:

Zugriffsrechte der NordVPN App

  1. ACCESS_NETWORK_STATE
    Zeigt Netzwerkverbindungen
  2. ACCESS_WIFI_STATE
    Zeigt Wifi Verbindungen
  3. FOREGROUND_SERVICE
    Lässt App im Vordergrund laufen
  4. INTERACT_ACROSS_USERS
  5. INTERNET
    Ermöglicht vollen Netzwerkzugriff
  6. RECEIVE_BOOT_COMPLETED
    Lässt App mit dem Smartphone starten
  7. REQUEST_INSTALL_PACKAGES
    Ermöglicht nachträgliches installieren von Apps im Hintergrund
  8. WAKE_LOCK
    Verhindert die „Ruhefunktion“ des Gerätes
  9. WRITE_EXTERNAL_STORAGE
    Modifizieren oder löschen von Inhalten im Speicher
  10. INSTALL_SHORTCUT
    Lässt Bildschirmsymbole erstellen
  11. BILLING
  12. CHECK_LICENSE
  13. RECEIVE
  14. BIND_GET_INSTALL_REFERRER_SERVICE
  15. C2D_MESSAGE

(Vergleich mit OVPN)

  1. ACCESS_NETWORK_STATE
    Zeigt Netzwerkverbindungen
  2. FOREGROUND_SERVICE
    Lässt App im Vordergrund laufen
  3. INTERNET
    Ermöglicht vollen Netzwerkzugriff
  4. RECEIVE_BOOT_COMPLETED
    Lässt App mit dem Smartphone starten
  5. WAKE_LOCK
    Verhindert die „Ruhefunktion“ des Gerätes

Wozu so viele Zugriffsrechte?

Zumindest die Funktion um auf den eingebauten oder externen Speicher des Gerätes zuzugreifen wäre sicherlich vermeidbar.  Ebenfalls ist es nicht notwendig weitere Installationen durch die Apps selbst erlauben zu müssen. Diese Zugriffsrechte wären aus unserer Sicht einfach vermeidbar. Ganz allgemein zeigen aber auch andere VPN Anbieter, dass man VPN Anwendungen auch ohne viele Zugriffsrechte sicher gestalten kann und auch mit einem umfassenden Funktionsumfang ausstatten kann.

Einige der Zugriffsrechte sind sicher notwendig, wie man auch am Beispiel der sicheren OVPN Services erkennen kann, wir sehen hier dennoch einen nicht sparsamen Umgang mit diesen Rechten gegeben, welchen NordVPN überdenken sollte!

 

 


Erstellt am:31. Januar 2021


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!

Schreibe einen Kommentar