Die Android-App des Musikerkennungsdienstes Shazam sendet heimlich Positionsdaten an Werbepartner. Das ergab eine Analyse der c't in der aktuellen Ausgabe 5/14. Ist auf dem Smartphone GPS aktiviert und die Shazam-App geöffnet, überträgt diese in unregelmäßigen Abständen die genauen Ortsdaten des Smartphones inklusive einer eindeutigen Kennnummer (Android ID) an die Werbenetzwerke Mologiq und Admarvel.

Mologiq sammelt unter anderem IP-Adresse, Ortsdaten, Android-ID und Systeminformationen, wenn die App Shazam auf dem Smartphone läuft. (Bild: c't)

Für seine eigentliche Funktion benötigt Shazam die Ortsdaten nicht: Die App analysiert Sound-Häppchen und findet heraus, zu welchem Song sie gehören. Dass sie während der Installation dennoch Zugriff auf die genaue Position des Nutzers einfordert, begründet das Unternehmen mit zwei Funktionen des Diensts: Zum einen kann der Anwender die von ihm abgefragten Songs mit der aktuellen Position verknüpfen. Zum anderen generiert Shazam aus diesen georeferenzierten Songs regionale Musik-Charts.

Diese Funktionen sind standardmäßig eingeschaltet und der Nutzer wird über die Weitergabe der Position nur in den Nutzungsbedingungen informiert. Die Verknüpfung von Songs und Ort kann der Anwender zwar in den Einstellungen der Android-App per Opt-out deaktivieren. Die App übermittelt dann aber trotzdem ungefragt und heimlich die Ortsdaten an seine Werbepartner weiter.

Besonders viel Informationen gibt Shazam dabei an die URL a.mologiq.net weiter. In dem Datenpaket, das per unverschlüsseltem HTTP regelmäßig an den Server übermittelt wird, fanden wir nicht nur Ortsdaten. Es enthielt auch eine Liste der installierten Apps und eindeutige Kennnummern wie die IP-Adresse und die Android ID des Anwenders, die sich normalerweise erst beim Zurücksetzen des Smartphones ändert. Mit den Daten ist der Betreiber der Seite theoretisch in der Lage, ein genaues Bewegungsprofil des Anwenders zu erstellen, wenn er die Shazam-App regelmäßig nutzt.

Wer ist Mologiq? Auf der Unternehmenswebseite findet man es jedenfalls nicht heraus. (Bild: mologiq.com)

Was Mologiq mit den Daten anstellt, gibt das dahinter stehende Unternehmen nicht zu erkennen. Überhaupt ist über den Werbepartner von Shazam kaum etwas herauszufinden: Auf seiner Webseite www.mologiq.com gibt es kein Impressum, stattdessen brüstet man sich, "ein im geheimen agierendes Start-up" zu sein, das große Dinge im mobilen Werbegeschäft mache. Sowohl mologiq.com als auch mologic.net sind auf ein im kalifornischen San Jose ansässiges Unternehmen Motastic in San Diego registriert, zu dem wir ebenfalls keine Informationen im Netz finden konnten. Auch die im Whois-Eintrag der Webseite angegebene postalische Adresse scheint nicht zu existieren.

Shazam zeigte sich auf unsere Anfrage bezüglich der Ortsdaten und der Identität der Werbepartner ebenfalls wenig auskunftsfreudig: Das Unternehmen begründete die Datensammelei mit den ortsbasierten Charts und verwies pauschal auf seine eigenen Datenschutzrichtlinien. Darin heißt es: "In einigen Fällen können wir automatisch Ihre Positionsdaten ermitteln, aber wir benutzen diese Daten nur, wenn Sie uns Ihre Erlaubnis dazu erteilen." Weiter unten findet sich dann noch der Hinweis, dass persönliche Daten auch an Geschäftspartner und Werbepartner weitergegeben werden können. Nicht zu finden sind explizite Hinweise auf die Weitergabe der Ortsdaten an die Werbepartner Admarvel und Mologiq.

Mehr zur Datenweitergabe durch Smartphone-Apps finden Sie in der aktuellen c't 5/14 auf S. 82. (acb)