VPN, AdBloker-Anbieter auf frischer Tat ertappt

Viele VPNs und werbeblockierende Anwendungen, die zum Sensor Tower, einer beliebten Analyseplattform, gehören, sammeln Daten von Millionen von Menschen, die Programme auf ihren Android- und iOS-Geräten benutzen, berichtete BuzzFeed am Montag.

Die Software umfasst Free and Unlimited VPN, Luna VPN, Mobile Data, Adblock Focus für Android-Geräte und Adblock Focus und Luna VPN für iOS-Geräte, BuzzFeed gefunden. Anwendungen sammelten Daten und speisten sie in Sensor Tower-Produkte ein, ohne sie den Benutzern zu offenbaren.

Nachdem BuzzFeed Apple und Google wegen der Apps kontaktiert hatte, sagte BuzzFeed, dass Adblock Focus aus Apples Online-Store entfernt und Mobile Data in Google Play gesucht wurde.

Sobald die Anwendung Sensor Tower auf dem Telefon installiert ist, weist sie den Benutzer an, das Master-Zertifikat zu installieren, eine Software, die auf alle Daten zugreifen kann, die über das Telefon laufen, erklärte BuzzFeed.

Der Zugriff auf die Privilegien des Master-Zertifikats wird von Google und Apple eingeschränkt, da dies ein Sicherheitsrisiko für die Nutzer darstellt, stellte BuzzFeed fest. Die Sensor Tower-Apps umgehen jedoch diese Einschränkungen, indem sie die Benutzer anweisen, das Master-Zertifikat nach dem Herunterladen der App von einer externen Website zu installieren.

Laut Buzzfeed sammelte Sensor Tower nur anonyme Nutzungs- und Analysedaten für die Integration mit Produkten. Diese Produkte werden von Entwicklern, Risikokapitalgebern, Verlegern und anderen genutzt, um Popularität, Nutzungstrends und Anwendungserlöse zu verfolgen.

Sensor Tower reagierte nicht auf unsere Bitte, diese Geschichte zu kommentieren.

Vernünftige Erwartungen

Die Geschäftspraktiken von Sensor Tower sind nicht so ungewöhnlich, besonders im Bereich der freien Software.

"Ich glaube nicht, dass die Verbraucher im Allgemeinen einen guten Sinn dafür haben, was mit ihren Daten geschieht. - bemerkte Greg Sterling, Vizepräsident für Marktforschung bei Uberall, Schöpfer von Standortmarketinglösungen mit Sitz in Berlin.

"Sie sind zunehmend besorgt um ihre Privatsphäre, fühlen sich aber im Allgemeinen machtlos, viel dagegen zu unternehmen", sagte TechNewsWorld.

"Jedes Unternehmen, das die Sprache der Privatsphäre - wie bei der virtuellen Privatarbeit - in seiner Produktbeschreibung oder im Marketing verwendet, weckt Erwartungen an die Privatsphäre in Bezug auf die Identität des Verbrauchers und die Weitergabe von Daten an Dritte. Sterling weiter.

"Das ist der Grund, warum der Verbraucher VPN überhaupt erst benutzt, um Geheimhaltung oder Privatsphäre zu wahren", fügte er hinzu.

Während die Erwartung des Schutzes der Privatsphäre bei der Verwendung von VPN für die Benutzer offensichtlich erscheinen mag, gilt dies weniger für die Anwendungsentwickler, bemerkte Drew Schmitt, Incident Response Consultant bei The Crypsis Group, einem Sicherheitsberatungsunternehmen mit Büros in Washington, New York, Chicago, Austin und Los Angeles.

"Aus meiner Sicht ist es vernünftig, Privatsphäre zu erwarten. Aber ich denke, die meisten Unternehmen, die ein 'kostenloses' Produkt anbieten, würden dem nicht unbedingt zustimmen", sagte Schmitt TechNewsWorld.

"Ich denke, der Trend für diese Art von Unternehmen besteht darin, ihre Datenverkaufsaktivitäten zu rechtfertigen, indem sie sich auf Daten konzentrieren, die per Definition nicht "sensibel" sind", fuhr er fort. "Am Ende des Tages summieren sich all diese kleinen, scheinbar unwichtigen Datenpunkte zwar zu der Möglichkeit, Einzelpersonen auf irgendeine Weise zu erreichen, was letztendlich ziemlich heikel ist.

Ethische Debatte

Die Menschen müssen sich daran erinnern, was ein VPN ist, sagte Matias Katz, CEO von Byos, einem Anbieter von Endpunkt-Sicherheitslösungen in Halifax, Nova Scotia, Kanada.

"Wenn Sie einen VPN-Dienst nutzen, senden Sie alle Ihre Daten an ein anderes Datenzentrum, bevor sie das Internet erreichen", so TechNewsWorld.

"Wenn ich meinen eigenen VPN-Server verwalte, ist das gut, denn der Server und die Daten gehören mir", so Katz weiter.

"Wenn ich meine Daten an eine dritte Partei wie den Sensorturm schicke oder sie mir sagen, dass meine Daten gesammelt werden oder nicht, habe ich keine Möglichkeit zu erfahren, was in diesen Datenzentren vor sich geht", sagte er. "Es gibt keine Möglichkeit zu überprüfen, was real ist oder nicht, und die harte Wahrheit ist, dass kommerzielle VPNs unreguliert sind, und es ist extrem schwierig zu überprüfen, was mit unseren Daten geschieht.

Obwohl der Handel mit dem Zugriff auf Datenanwendungen gängige Praxis ist, sind die Experten über die Ethik der Sensorturm-Methoden geteilter Meinung.

"Wenn Sie eine Dienstleistung im Austausch für das Abfangen von Informationen über Sie erhalten, kann man das als ethisch bezeichnen", sagte Brian Chappell, Direktor des Produktmanagements bei BeyondTrust in Carlsbad, Kalifornien, einem Entwickler von Lösungen für Privileged Account Management und Schwachstellenmanagement.

"Es ist nicht wirklich unethisch, Daten gegen Dienstleistungen zu tauschen, solange sich alle Parteien der Vereinbarung voll bewusst sind", sagte TechNewsWorld.

"Die Datenerfassung durch den Sensorturm ist in keiner Weise ethisch vertretbar", behauptete Harold Li, Vizepräsident von ExpressVPN, einem Hochgeschwindigkeits-VPN-Anbieter in Tórtoli auf den britischen Jungferninseln.

"Sensor Tower verwendet VPNs und Werbesperren, d.h. Tools zum Schutz der Privatsphäre der Benutzer, um diese dazu zu bringen, Master-Zertifikate zu installieren, die Standard-Sicherheitsmaßnahmen über Android und iOS umgehen, um auf Daten und Datenverkehr zuzugreifen", sagte TechNewsWorld.

"Diese fragwürdigen Methoden verstoßen gegen die Richtlinien des App Store - und wahrscheinlich gegen eine Menge Datenschutzgesetze", sagte Li.

Die Datenerfassungsmethoden des Sensor Tower seien nicht ethisch vertretbar, sagte Paul Bischoff, Datenschutzbeauftragter von Comparitech, Überprüfungen, Ratschläge und Website-Informationen für Produkte zur Verbrauchersicherheit.

"Die meisten Benutzer gehen davon aus, dass Werbeblockaden und VPNs ihre Privatsphäre verbessern und nicht verschlechtern werden", sagte TechNewsWorld.

"Diese Apps machen Jagd auf Menschen, die etwas umsonst wollen und keine Zeit damit verbringen, Datenschutzrichtlinien zu lesen oder Genehmigungen einzusehen", sagte Bischoff.

Verbraucher, schütze dich selbst

Eine Möglichkeit für Verbraucher, sich vor gierigen Apps zu schützen, sei es, ihre Datenschutzrichtlinien zu lesen, so Bischoff.

"Wenn sie nicht klar sagen, dass sie keine Daten sammeln und austauschen, nehmen wir an, sie tun es", sagte Bischoff. "Die Verbraucher sollten besonders vorsichtig mit kostenlosen Anwendungen sein, die oft keine andere Möglichkeit haben, Einnahmen zu erzielen.

Verbraucher können sich schützen, indem sie die Anzahl der von ihnen installierten Anwendungen von unbekannten Entwicklern begrenzen und nur vertrauenswürdige Anwendungsspeicher verwenden, schlug Jack Mannino, CEO von nVisium, einem Anbieter von Anwendungssicherheit aus Virginia, Herndon, vor.

Es sei nicht klug, beim Herunterladen und Überprüfen von Informationen zu viel zu tun, warnte er.

"Während die Anzahl der Installationen und positiven Bewertungen ein Indikator für legale Software sein kann, haben sich in diesem Fall Millionen von Benutzern unwissentlich dazu entschlossen", sagte Mannino TechNewsWorld.

Einer der Anreize besteht darin, dass die Verbraucher nicht mehr so machtlos sind, ihre Daten zu kontrollieren, wie sie es früher waren, sagte Ameet Naik, eine Sicherheitsevangelistin von PerimeterX, einem Anbieter von Netzwerksicherheitsdiensten in San Mateo, Kalifornien.

"Ab Januar 2020 haben die Verbraucher jetzt die Möglichkeit, aus der Datenerfassung auszusteigen", sagte TechNewsWorld. "Achten Sie auf den Link 'Nicht verkaufen' auf der Website des Verkäufers und nutzen Sie die Opt-out-Option nach dem CCPA (California Consumer Privacy Act), wenn Sie den Verdacht haben, dass Ihre Daten missbraucht wurden.

Verbraucher haben das Recht, über alle Daten informiert zu werden, die von jeder Software, die sie installieren, gesammelt werden, sagte Ben Williams, Verteidigungsdirektor bei Eyeo, Hersteller von AdBlock Plus, Köln, Deutschland.

"Mit den Entwicklungen, die wir in letzter Zeit im Bereich des Datenschutzes erlebt haben - der Tod von externen Cookies, GDPR, CCPA - scheint es wie eine alte Lektion. Ich schätze nicht", sagte TechNewsWorld.

"Was wir vergessen, wenn wir über die Aktionen des Browsers und die Gesetzgebung sprechen, die angeblich diese Änderungen verursacht haben, ist, dass es der Verbraucher war, der mehr Kontrolle verlangte", sagte Williams. "Hören Sie ihnen einfach zu.