Datenschutz

Gesundheitsapp Ada übermittelt sensible Daten an Facebook und Co.

Die Gesundheitsapp Ada will euch den Weg zum Arzt ersparen. Bei Krankheit muss man seine Symptome nicht mehr googlen, sondern kann sie ganz einfach bei Ada angeben und bekommt eine mögliche Diagnose. Die Anwendung will "allen Menschen Zugang zur personalisierten Medizin der Zukunft verschaffen". Mit so sensiblen Gesundheitsdaten sollte man ja eigentlich vorsichtig umgehen und der Datenschutz sollte bei so einer App groß geschrieben werden, oder? Tja, denkste!

von Vera Bauer am 13. Oktober 2019

Schon vor der ersten Nutzereingabe hat die Anwendung Daten an die Tracker von Amplitude und Facebook übermittelt. Später schickt sie sogar Symptome. Das fand der Sicherheitsforscher Mike Kuketz heraus, indem er das Datensendeverhalten der Android-App untersuchte. Bereits beim ersten Start von Ada stellte er weitreichende Datenübertragungen fest. Nach der Anmeldung wurden sogar medizinische Daten der Nutzer an Trackingdienste weitergeleitet. Unfassbar!

Dabei empfehlen sogar verschiedene Krankenkassen die App. So wirbt zum Beispiel die Techniker Krankenkasse für die Anwendung als „künst­liche Intel­li­genz für eine bessere Versor­gung“. Auf der entsprechenden Webseite von Ada sind verschiedene Sicherheitszertifizierungen vom Tüv Nord aufgeführt und sie werben mit einer besonders hohen Verschlüsselung der Daten. „Alle Daten sind verschlüsselt bei Ada gespeichert und werden niemals ohne Einverständnis mit Dritten geteilt“, steht dort geschrieben.

Der Sicherheitsforscher Mike Kuketz hat da andere Ergebnisse vorliegen. Die App kontaktiert Facebook und den Trackingdienst Amplitude, bevor er überhaupt mit ihr interagiert hat, geschweige denn den Datenschutzbestimmungen zugestimmt hat. Dabei werden Daten wie die Android Werbe-ID übermittelt, die es ermöglicht, den Nutzer über verschiedene Apps hinweg wiederzuerkennen – und damit auch dessen Daten in Verbindung zu bringen. Das heißt eure Beschwerden und Symptome können immer wieder mit eurem Online-Profil verknüpft werden – super gruselig!

Bei der Erstellung eines Profils wird Kuketz nach seiner E-Mail-Adresse, seinem Geburtsdatum, seiner Krankenkasse und weiteren Daten gefragt. Er zeichnet auf: Nach jeder Frage wird ein Tracking-Event von Facebook gestartet. Vor der Übertragung werden die Infos leider verschlüsselt, deshalb kann der Sicherheitsforscher nicht mehr im Detail nachvollziehen, welche Daten übermittelt werden. Das Magazin Ct findet später jedoch heraus, das auch Daten wie etwa der Name der Krankenkasse weitergegeben werden.

Der eigentliche Sinn der App ist ja, eine Diagnose aus verschiedenen Symptomen zu stellen. Auch das probiert Kuketz aus: Zunächst wird er gefragt, ob es um ihn geht oder um jemand anderen. Danach soll er eingeben, welches Symptom ihn „am meisten beschäftigt“ – zu Testzwecken gibt er dabei „Inkontinenz“ an. Diese kleine Information ist aber nicht nur für Adas Ohren bestimmt, sondern wird auch an Amplitude weiter getragen. Der übertragene Datensatz umfasst insgesamt über 2.000 Zeichen, darin enthalten sind neben der Inkontinenz auch eine User-ID, der Zeitpunkt, das verwendete Betriebssystem, die Android Werbe-ID und vieles mehr. Auch die anschließend abgefragten Symptome werden übermittelt. Parallel dazu läuft eine Verbindung zu Facebook.

via: golem

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft