Google schließt ein Schlupfloch, das es Tausenden von Unternehmen ermöglicht hat, sensible personenbezogene Daten von Android-Smartphones zu überwachen und zu verkaufen, ein Versuch, der von Datenschutzaktivisten nach der Entscheidung des Obersten Gerichtshofs der USA begrüßt wurde, das verfassungsmäßige Recht von Frauen auf Abtreibung zu beenden.
Der Schritt des Unternehmens aus dem Silicon Valley erfolgt inmitten wachsender Befürchtungen, dass mobile Apps von US-Bundesstaaten bewaffnet werden, um neue Abtreibungsbeschränkungen im Land zu überwachen.
Unternehmen haben die Informationen zuvor gesammelt und auf dem freien Markt verkauft, einschließlich Listen von Android-Benutzern, die Apps im Zusammenhang mit Periodenverfolgung, Schwangerschaft und Familienplanung wie Planned Parenthood Direct verwenden.
In der vergangenen Woche haben Datenschutzforscher und -befürworter Frauen aufgefordert, Periodenverfolgungs-Apps von ihren Telefonen zu löschen, um zu vermeiden, dass sie verfolgt oder bestraft werden, wenn sie Abtreibungen in Betracht ziehen.
Der US-Technologieriese kündigte im vergangenen März an, die Funktion einzuschränken, mit der Entwickler sehen können, welche anderen Apps auf den Telefonen von Einzelpersonen installiert und gelöscht werden. Diese Änderung sollte im vergangenen Sommer umgesetzt werden, aber das Unternehmen hat diese Frist unter anderem wegen der Pandemie nicht eingehalten.
Die neue Frist am 12. Juli läuft nur wenige Wochen nach der Aufhebung des Urteils Roe vs Wade, ein Urteil, das ein Schlaglicht darauf geworfen hat, wie Smartphone-Apps zur Überwachung durch US-Bundesstaaten mit neuen Anti-Abtreibungsgesetzen verwendet werden könnten.
„Es ist längst überfällig. Datenbrokern ist es seit langem untersagt, die Daten gemäß den Bedingungen von Google zu verwenden, aber Google hat keine Sicherheitsvorkehrungen in den App-Genehmigungsprozess eingebaut, um dieses Verhalten abzufangen. Sie haben es einfach ignoriert“, sagte Zach Edwards, ein unabhängiger Cybersicherheitsforscher, der die Lücke seit 2020 untersucht.
„Jetzt kann also jeder mit einer Kreditkarte diese Daten online kaufen“, fügte er hinzu.
Google sagte: „Im März 2021 gaben wir bekannt, dass wir planen, den Zugriff auf diese Berechtigung einzuschränken, sodass nur Dienstprogramm-Apps wie Gerätesuch-, Antiviren- und Dateimanager-Apps sehen können, welche anderen Apps auf einem Telefon installiert sind.“
Es fügte hinzu: „Das Sammeln von App-Inventardaten, um sie zu verkaufen oder für Analyse- oder Werbemonetarisierungszwecke zu teilen, war bei Google Play nie erlaubt.“
Trotz der weit verbreiteten Verwendung durch App-Entwickler ist sich die Benutzer dieser Funktion in Android-Software nicht bewusst – eine von Google entwickelte Programmierschnittstelle oder API, die als „Query All Packages“ bekannt ist. Es ermöglicht Apps oder darin enthaltenen Codeschnipseln von Drittanbietern, das Inventar aller anderen Apps auf dem Telefon einer Person abzufragen. Google selbst hat diese Art von Daten als risikoreich und „sensibel“ bezeichnet, und es wurde festgestellt, dass sie an Dritte verkauft werden.
Forscher gefunden haben dass App-Inventare „verwendet werden können, um Interessen und persönliche Eigenschaften von Endbenutzern genau abzuleiten“, darunter unter anderem Geschlecht, Rasse und Familienstand.
Edwards hat herausgefunden, dass ein Datenmarktplatz, Narrative.io, Daten, die auf diese Weise von Vermittlern erhalten wurden, offen verkaufte, darunter Smartphones mit Planned Parenthood und verschiedene Perioden-Tracking-Apps.
Narrative sagte, es habe im Mai Daten von Schwangerschafts-Tracking- und Menstruations-Apps von seiner Plattform entfernt, als Reaktion auf den durchgesickerten Entwurf, der die bevorstehende Entscheidung des Obersten Gerichtshofs umreißt.
Ein anderes Forschungsunternehmen, Pixalate, entdeckte, dass Verbraucher-Apps, wie eine einfache Wetter-App, Codeteile ausführten, die dieselbe Android-Funktion ausnutzten, und Daten für ein panamaisches Unternehmen mit Verbindungen zu US-Rüstungsunternehmen sammelten.
Google sagte, dass es „niemals Benutzerdaten verkauft, und Google Play verbietet strengstens den Verkauf von Benutzerdaten durch Entwickler. Wenn wir Verstöße entdecken, ergreifen wir Maßnahmen“, fügte er hinzu, dass mehrere Unternehmen sanktioniert wurden, von denen angenommen wird, dass sie Benutzerdaten verkaufen.
Google sagte, es würde die Funktion „Alle Pakete abfragen“ ab dem 12. Juli auf diejenigen beschränken, die sie benötigen. App-Entwickler müssen eine Erklärung ausfüllen, in der sie erklären, warum sie Zugriff benötigen, und Google vor Ablauf der Frist darüber informieren, damit sie überprüft werden kann.
„Betrügerische und nicht deklarierte Nutzung dieser Berechtigungen kann zu einer Sperrung Ihrer App und/oder Kündigung Ihres Entwicklerkontos führen“, warnte das Unternehmen.