Viele Sportbegeisterte fiebern dem Event nach der Pandemie-bedingten einjährigen Verzögerung gespannt entgegen. Dabei verfolgen Fans die Spiele nicht nur live im Fernsehen, sondern auch mobil über Olympia-Apps für die olympischen Sommerspiele in Tokio.
- Alle Olympia-Apps nutzen Tracking- und Analysedienste
- Fast alle Olympia-Apps übermitteln Daten in die USA
- App “Tokyo 2020” weist gravierende Sicherheitslücken auf
- Nutzung der offiziellen Olympia-Apps aus datenschutzrechtlicher Sicht empfohlen
Nutzer:innen können in diesen Apps immer und überall aktuelle Ergebnisse und spannende Hintergrundinformationen einsehen. So entgeht den Olympia-Fans keine Neuigkeit während des 16-tägigen Turniers. Doch wie sind die Olympia-Apps datenschutztechnisch aufgestellt? Die Security-Experten von mediaTest digital haben die beliebtesten Apps für die Olympischen Spiele 2021 auf ihren Umgang mit Nutzer:innendaten geprüft.
Tokyo 2021 – Schedule, Sports and Medals
Die App Tokyo 2021 ist für Android-Geräte in der Version 2.2.2 verfügbar. Die Anwender:innen können in der App den Medaillen Spiegel und den Zeitplan einsehen sowie Zusatzinformationen über die Sportarten nachlesen. Die Security-Experten von mediaTest digital konnten die Nutzung von Trackern und Analyse-Tools feststellen. Dazu gehören Google-Dienste wie Google AdMob und Google Firebase Analytics, die das Nutzer:innenverhalten auswerten. Weiterhin ist den Prüfern aufgefallen, dass die Firebase-Datenbank der App öffentlich zugänglich ist. Da User:innen allerdings keine persönlichen Daten innerhalb der Anwendung eingeben können, sind Nutzer:innendaten dabei nicht betroffen. Es wird dennoch empfohlen, dieses Defizit vorsorglich zu beheben. Da die Server des App-Herstellers in den USA liegen, übermittelt die App Daten in die Vereinigten Staaten. Mehr Unabhängigkeit von amerikanischen Unternehmen wäre an dieser Stelle wünschenswert. Ein positiver Punkt ist, dass eine Man-in-the-Middle-Attacke in den Testläufen nicht erfolgreich gewesen ist. Die App leitet ausreichend Gegenmaßnahmen ein, um einen solchen Angriff zu verhindern.
Olympics
Die offizielle App der Olympischen Spiele 2021 steht Nutzer:innen für iOS (v 4.36.3) und Android (v 4.36.1) zur Verfügung. In der App können Sportbegeisterte die Highlights im Live-Stream verfolgen und die Zeitpläne und neusten Updates einsehen. Den Datenschützern von mediaTest digital ist aufgefallen, dass die App die Login-Daten der User:innen an Gigya übermittelt. Es handelt sich dabei um ein Portal zur Identifizierungen von Kund:innen, welches Teil des Softwareherstellers SAP ist. Negativ ist den Experten aufgefallen, dass die App Metadaten an Werbeplattformen wie Facebook, Google und OneTrust verschickt. Dies hängt mitunter damit zusammen, dass die App Analyse-Tools wie Google Firebase Analytics verwendet. Weiterhin konnten die Prüfer feststellen, dass die Anwendung Zugriff auf den Standort der Nutzer:innen per WiFi oder GPS einfordert.
Tokyo 2020
Die App Tokyo 2020 ist für Android-Geräte in der Version 1.0 verfügbar. Die Security-Experten konnten die Nutzung von diversen Trackern oder Analyse-Tools wie Facebook Ads und GoogleAd Mob ermitteln. Weiterhin ist den Datenschützern aufgefallen, dass die App Clear Text Traffic zulässt. Informationen werden somit unverschlüsselt übermittelt. Die Hersteller sollten diese Funktion deaktivieren, da unsichere HTTP-Verbindungen aufgebaut werden und dadurch Nutzerdaten von Dritten ausgelesen werden könnten. Eine Man-in-the-Middle-Attacke war nicht erfolgreich, da die App größtenteils aus einem WebView besteht und die Sicherheitsvorkehrungen der Webseite nicht umgangen werden konnten. Unglücklicherweise ergab die unabhängige Virenprüfung in den Tests 6 von 61 möglichen Treffern. Es besteht somit die Möglichkeit einer Bedrohung durch Viren oder Trojaner. Ein weiterer negativer Punkt ist, dass sich die Server des App-Anbieters in den USA befinden. Nutzer:innendaten gehen somit den Weg in die Vereinigten Staaten.
Die Sicherheits-Experten haben in den Tests zudem Hinweise darauf gefunden, dass es sich bei der App um eine Fake App handelt, die lediglich dazu dient, Werbung zu verteilen. Bei den anderen Apps des Entwicklers konnte das gleiche Ziel identifiziert werden. Die App wurde zwischenzeitlich aus dem Play Store entfernt, ist nun jedoch wieder verfügbar. mediaTest digital arbeitet aktuell daran, die Olympia-App des Herstellers sowie weitere Apps dieser Art aus dem Google Play Store zu entfernen.
Empfehlung der offiziellen Olympia-Apps
Die Olympia-Apps stellen eine gute Lösung dar, um aktuelle Ergebnisse nicht zu verpassen und das Turnier orts- und zeitunabhängig mitzuverfolgen. Die Datenschützer von mediaTest digital empfehlen aus Gründen der Datensicherheit jedoch die Nutzung der offiziellen Apps des IOC (Internationales Olympisches Komitee). Dazu gehört zum Beispiel die getestete App “Olympics”. Nutzer:innen sollten sich zudem bewusst sein, dass die viele Olympia-Apps Tracking- und Analyse-Instrumente verwenden und ihre Server in den USA liegen.
appvisory.com