Schon vor der ersten Nutzereingabe hat die Anwendung Daten an die Tracker von Amplitude und Facebook übermittelt. Später schickt sie sogar Symptome. Das fand der Sicherheitsforscher Mike Kuketz heraus, indem er das Datensendeverhalten der Android-App untersuchte. Bereits beim ersten Start von Ada stellte er weitreichende Datenübertragungen fest. Nach der Anmeldung wurden sogar medizinische Daten der Nutzer an Trackingdienste weitergeleitet. Unfassbar!
Dabei empfehlen sogar verschiedene Krankenkassen die App. So wirbt zum Beispiel die Techniker Krankenkasse für die Anwendung als “künstliche Intelligenz für eine bessere Versorgung”. Auf der entsprechenden Webseite von Ada sind verschiedene Sicherheitszertifizierungen vom Tüv Nord aufgeführt und sie werben mit einer besonders hohen Verschlüsselung der Daten. “Alle Daten sind verschlüsselt bei Ada gespeichert und werden niemals ohne Einverständnis mit Dritten geteilt”, steht dort geschrieben.
Der Sicherheitsforscher Mike Kuketz hat da andere Ergebnisse vorliegen. Die App kontaktiert Facebook und den Trackingdienst Amplitude, bevor er überhaupt mit ihr interagiert hat, geschweige denn den Datenschutzbestimmungen zugestimmt hat. Dabei werden Daten wie die Android Werbe-ID übermittelt, die es ermöglicht, den Nutzer über verschiedene Apps hinweg wiederzuerkennen – und damit auch dessen Daten in Verbindung zu bringen. Das heißt eure Beschwerden und Symptome können immer wieder mit eurem Online-Profil verknüpft werden – super gruselig!
Bei der Erstellung eines Profils wird Kuketz nach seiner E-Mail-Adresse, seinem Geburtsdatum, seiner Krankenkasse und weiteren Daten gefragt. Er zeichnet auf: Nach jeder Frage wird ein Tracking-Event von Facebook gestartet. Vor der Übertragung werden die Infos leider verschlüsselt, deshalb kann der Sicherheitsforscher nicht mehr im Detail nachvollziehen, welche Daten übermittelt werden. Das Magazin Ct findet später jedoch heraus, das auch Daten wie etwa der Name der Krankenkasse weitergegeben werden.
Der eigentliche Sinn der App ist ja, eine Diagnose aus verschiedenen Symptomen zu stellen. Auch das probiert Kuketz aus: Zunächst wird er gefragt, ob es um ihn geht oder um jemand anderen. Danach soll er eingeben, welches Symptom ihn “am meisten beschäftigt” – zu Testzwecken gibt er dabei “Inkontinenz” an. Diese kleine Information ist aber nicht nur für Adas Ohren bestimmt, sondern wird auch an Amplitude weiter getragen. Der übertragene Datensatz umfasst insgesamt über 2.000 Zeichen, darin enthalten sind neben der Inkontinenz auch eine User-ID, der Zeitpunkt, das verwendete Betriebssystem, die Android Werbe-ID und vieles mehr. Auch die anschließend abgefragten Symptome werden übermittelt. Parallel dazu läuft eine Verbindung zu Facebook.
via: golem
