Durch App-Download wird man Mitglied der Runtastic-Crowd – aber was genau macht die App dabei eigentlich?
Unser Projektpartner vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt stellte uns eine sog. Security and Privacy Analysis der Lauf-App zur Verfügung (Stand: 2018)(1). Die Lauf-App interagierte zum damaligen Zeitpunkt insgesamt mit 134 Kommunikations-Endpunkten und mit Servern in vierzehn Ländern, von Hong Kong, China und Russland über die USA, Kanada, und Großbritannien bis zu einer Reihe von europäischen Ländern. Dieser Befund mag zunächst für Nicht-Informatiker:innen mehr oder weniger überraschend sein, sagt aber über die App für sich genommen noch nicht allzu viel Konkretes aus. Interessanter scheint die Spur der 43 Permissions, die die App bei Download anfordert. Eine dieser Zugriffserlaubnisse ist die „Internet Permission“. Was hat es zu bedeuten, dass die App diese Permission anfordert?
Wie der Eintrag in Google’s Android Developers’ Blog wissen lässt2, handelt es sich um Permissions, die Apps erlauben „network sockets“ zu öffnen. Das heißt, die App kann Internet-Adressen aufrufen, und weil das ‚Protection Level: normal‘ ist, kann sie das tun, ohne dafür beim User jedes Mal die Erlaubnis einzuholen. „android.permission.INTERNET permission (…) is required for communication with the ad network’s servers…”.3 Dass die App diese Erlaubnis anfordert, weist also darauf hin, dass sie mit Ad Networks kommuniziert.
Was sind nun Ad Networks?
Bei Ad Networks handelt es sich um Online-Werbefirmen, die App-Entwicklerinnen sogenannte „Ad Libraries“ zur Verfügung stellen. „Ad Libraries“ bestehen aus einem speziellen Code, den die App-Entwickler in den Quellcode ihrer App einbetten. Dieser eingebettete Code veranlasst die App, Anfragen an das Ad Network, das heißt an die Online-Werbefirma zu senden. Immer wenn das Ad Network solche Anfragen erhält und gleichzeitig Werbeanzeigen parat hat, die zum Profil der App-Nutzer:innen passen, sendet es in-App Advertisements an die App. Wenn die Nutzer:innen dann tatsächlich auf die Werbung klicken, wird die App-Entwicklerin mit Geldprämien entlohnt.
Interessant ist zunächst, dass „Ad Libraries“, der in die App eingebettete Spezial-Code, nicht nur Werbeanzeigen vom Ad Network anfordert, sondern auch das Senden von Daten an dieses Network veranlasst – “At run-time, the ad library communicates with the ad network’s servers to request ads for display and might additionally send analytics information about the users of the app”, erklären Grace et al. All das lässt vermuten, dass die android.permission.INTERNET von der Lauf-App angefordert wird, damit eine eingebettete „Ad Library“ die App, und damit das Smartphone, zur Interaktion mit einem Ad Network veranlassen kann. Aber befanden sich in der Lauf-App überhaupt Ad Libraries? Die Antwort lautet: ja.
Zum damaligen Stand 2018 befanden sich laut Analyse der App 11 Ad Libraries in der Lauf-App: Adjust, Facebook Ads, Facebook Analytics, Facebook Login, Facebook Share, Flurry, Google Ads, Google Analytics, Google DoubleClick, Google Firebase, PushWoosh .
Festhalten lässt sich: die App forderte die android. permission.INTERNET an, um externe Netzwerk-Adressen aufzurufen; sie verwendete diese Permission dann, um den „Ad Library“-Code auszuführen, der seinerseits die App und das Smartphone mit bestimmten Ad Networks verbindet, zum Beispiel mit Facebook oder Google. Für unsere Analyse können wir somit folgern, dass die Realisierung des am Front-End gegebenen Versprechens der Plattform, dass uns die Nutzung der App Selbst-Gestaltung ermöglicht, mit Folge-Kosten verbunden ist. Der Zuwachs an Möglichkeiten der körperlichen Selbst-Formung, das heißt die Verfügungsmacht über das körperliche Selbst wird mit einer Verringerung der Verfügungsmacht über das eigene Gerät bezahlt, indem Daten-Analysten, wie Google oder Flurry Zugang zu eigenem Smartphone gewährt wird.