WZ DSGVO Titelbild

Warnung vor der VRM App der Wormser Zeitung

Wenn wir neue Smartphones in Betrieb nehmen, unterziehen wir sie einer Sicherheitsüberprüfung. Diesmal haben wir unseren Gerätepark um ein Oppo Find X2 Smartphone erweitert und sind vom Preis-Leistungsverhältnis recht angetan.

Erfreulicherweise spionieren sowohl die Mobiltelefone als auch die (vertrauenswürdigen) Apps ihre User seit Einführung der DSGVO deutlich weniger aus. Auch die aktuellen Versionen unserer Standard-Apps und sogar die Google-Komponenten in Android weisen weniger verdächtige Datenströme auf (natürlich erst, nachdem man Google durch Dutzende, zum Teil gut versteckter Einstellungen gezähmt hat). Die drastischen Strafandrohungen der Datenschutzgrundverordnung scheinen zu wirken.

Schwachstellen sind nach wie vor gerätespezifische proprietäre Apps, beispielsweise zur Steuerung von Überwachungskameras, die von außerhalb der EU kommen. Solche Geräte und Apps sollten unbedingt nur hinter einer sicheren Firewall betrieben werden. Aber das ist ein anderes Thema.

Während unser Sicherheitscheck1 also unerwartet erfreulich verlief, erzeugte die Überprüfung der VRM News App der Wormser Zeitung bei uns blankes Entsetzen. Wir fingen uns schon nach einer Minute Surfens mehr Datenübertragungen zu Drittfirmen ein, die tracken, personalisierte Anzeigen- und Inhaltsprofile erstellen und Werbung ausspielen als mit allen unseren anderen getesteten Apps zusammen. Und das, ohne dazu ein einziges Mal eine DSGVO-konforme Einwilligung gegeben zu haben.

WZ App Datenerhebung Screenshot

Als besondere Frechheit gibt es in der App im Fenster "Datenerhebung" die Möglichkeit die Weiterleitung von Daten an Google Firebase und Cxense abzuwählen, was wohl den Eindruck erzeugen soll, dass die App dann clean wäre. Auch macht die Datenschutzerklärung der VRM News-App falsche Angaben. Beispielsweise bezieht sich der Absatz bezüglich der Cookies nicht auf die App, sondern auf die Website.

Wer also die VRM App im Rahmen seines Abos verwendet, zahlt dreifach – mit dem Abonnementpreis, mit einem schier unerträglichen Werbebombardement und schließlich mit der Preisgabe seiner persönlichen Daten. Wir empfehlen dringend, stattdessen die Website in einem guten Browser mit Schutz vor Aktivitätsverfolgung (z.B. Firefox) zu verwenden und dort – in einer unverschämt aufwändigen Prozedur – die Spionagefunktionen auf wormser-zeitung.de zu deaktivieren. Bei uns jedenfalls flog die VRM App sofort raus, und wir haben unsere Google Werbe-ID zurückgesetzt. Ob wir unter diesen Umständen an unserem Abo für die Wormser Zeitung festhalten wollen, werden wir noch prüfen.

Datenströme der VRM App während rund 1 Minute Nutzungszeit (zur vergrößerten Darstellung anklicken)


Fußnoten:

1 Wir führen eine Datenstromanalyse durch, indem wir sämtliche Verbindungen aus dem Smartphone durch ein VPN schleusen und den dort entstehenden Traffic mitschneiden. Eventuell werden wir unsere Analyse noch auf einem unserer gerooteten Geräte vertiefen, indem wir uns die durch die App gespeicherten Daten genauer betrachten. Besonders die bizarren Upstream-Datenmengen finden wir außerordentlich besorgniserregend. Wozu, beispielsweise, werden von der App von unserem Smartphone aus 33 MB Daten an ib.adnxs.com (Unternehmenssitz USA) hochgeladen, also mehr als der noch nachvollziehbare Download (Werbeeinblendungen) von 30 MB? ib.adnxs.com hat übrigens einen äußerst zweifelhaften Ruf. In einer Windows Malwareattacke 2019 spielte dieses Werbenetzwerk eine zentrale Rolle, und Heise empfahl damals, diesen Server auf DNS-Ebene zu blocken.

Wir haben die aktuelle Version (2.2.5) der VRM App getestet.