Smartphones Spion in der Hosentasche: App-Nutzung verrät unsere Identität
Hauptinhalt
19. Februar 2022, 12:00 Uhr
Egal ob wir Informationen suchen, mit unseren Freunden Kontakt halten oder in den sozialen Netzwerken herumstöbern: Das Smartphone ist für viele Menschen ein ständiger Begleiter. Und weil das so schön praktisch ist, machen wir uns über die Sicherheit unserer Daten kaum Gedanken. Doch das Smartphone kann auch zum Spion in der Hosentasche werden. Allein unser Nutzungsverhalten verrät unsere Identität. Und es lässt sich noch viel mehr über uns herausfinden – ganz ohne uns aktiv abzuhören.
Morgens die Nachrichten-Apps checken, was in der Welt passiert, am Mittag ein paar Nachrichten in den Gruppenchat schreiben und nach Feierabend dann das Lieblingsspiel daddeln und Instagram, TikTok und Co durchstöbern. So oder so ähnlich sieht ein ganz normaler Tag mit dem Smartphone für viele Menschen aus. Doch was wir auf unserem Handy wann und wie lange machen, verrät auch, wer wir sind, sagt ein britisches Forschungsteam. Das hat untersucht, ob sich vom App-Nutzungsverhalten auf die Identität einer Person schließen lässt. Und offenbar ist das möglich.
Unser App-Nutzungsverhalten folgt einem Muster
Die Untersuchung des britischen Forschungsteams hat ergeben, dass das App Nutzungsverhalten einer Person ausreicht, um sie in mehr als einem von drei Fällen aus einer größeren Gruppe zu identifizieren.
Für ihre Studie analysierten die Forschenden von der Lancaster University und der University of Bath die Smartphone-Daten von 780 Personen. Dazu fütterten sie ihre statistischen Modelle mit Daten: 4.680 Tage App-Nutzungsdaten wurden demnach mit den 780 Probandinnen und Probanden verknüpft. So haben die Algorithmen der Modelle gelernt, welchen Mustern die tägliche App-Nutzung der Personen folgt.
Unsere Modelle konnten in einem Drittel der Fälle die richtige Person anhand anonymisierten Daten eines Tages identifizieren.
Dann hat das Forschungsteam den Versuch gewagt: Können die Modelle anhand von einem einzigen Tag Smartphone-App-Nutzungsdaten erkennen, um welche Person es sich handelt? Dieser Test-Datensatz war anonym und zuvor mit keiner der Personen gekoppelt, so die Forschenden. Das Ergebnis: Die Modelle haben jede dritte Person richtig identifiziert – und das mit dem "Training" von nur sechs Tagen App-Nutzungsdaten.
Das Forschungsteam erklärt dazu, dass es festgestellt habe, dass Menschen im Alltag konsistente Muster in ihrem Anwendungsnutzungsverhalten zeigten. So nutzten sie etwa Facebook am häufigsten und die Taschenrechner-App am wenigsten, so Erstautorin Dr. Heather Shaw. "Um dies zu untermauern, haben wir auch gezeigt, dass die Smartphone-Daten von zwei Tagen derselben Person eine größere Ähnlichkeit in den App-Nutzungsmustern aufwiesen als die Daten von zwei Tagen von verschiedenen Personen."
Identifikation ohne Abhören
Ein Drittel Treffer mag nicht nach viel klingen, so das britische Forschungsteam, sei aber bemerkenswert. Und überhaupt brauche es gar nicht immer nur eine identifizierte Person. Es könne etwa auch eine Liste der wahrscheinlichsten und unwahrscheinlichsten Personen berechnet werden. Wenn die Forschenden sich nämlich die 10 Personen mit der höchsten Wahrscheinlichkeit angeschaut haben, war die korrekte Person in drei Viertel aller Fälle mit auf der Liste.
In der Praxis könnten sich das beispielsweise Strafverfolgungsbehörden zu Nutze machen, erklärt Professor Paul Taylor: "Eine Untersuchung, die darauf abzielt, das neue Telefon eines Kriminellen anhand seiner bisherigen Telefonnutzung zu identifizieren, kann einen Kandidatenpool von etwa 1.000 Telefonen auf zehn Telefone reduzieren." Das Risiko, dass das des Kriminellen doch nicht unter diesen zehn Telefonen ist, liege dann bei 25 Prozent.
Doch was die Polizei womöglich freut, dürfte allen anderen Menschen eher Sorgenfalten auf die Stirn rufen: Wissen Apps, die meine Nutzungsdaten abfischen, also ziemlich genau, wer ich bin? Das Forschungsteam warnt jedenfalls davor, dass Software, die Zugriff auf die standardmäßige Aktivitätsprotokollierung eines Smartphones hat, auch dann eine ziemlich gute Annahme über die Identität des Handynutzers machen können, wenn dieser von seinem Konto abgemeldet ist. So ließe sich eine Person beispielsweise ganz ohne das Abhören von Gesprächen identifizieren. Das große Problem für die Privatsphäre sieht das Forschungsteam dabei vor allem darin, dass die App-Nutzungsdaten häufig automatisch von einem Smartphone erfasst würden – und damit ihre Nutzerin oder seinen Nutzer identifizierbar machten.
Link zur Studie
Shaw, Heather et. al.: Behavioral Consistency in the Digital Age. In: Psychological Science. DOI: 10.1177/09567976211040491.
Was Bewegungsdaten über uns verraten
Doch nicht nur wann und wie lange wir eine App nutzen, lässt Rückschlüsse auf die Identität von Smartphone-Nutzerinnen und -Nutzern zu. So hat das AI + Automation Lab des Bayerischen Rundfunks für eine Recherche eigens eine App programmiert, mit deren Hilfe die Journalistinnen und Journalisten herausfinden wollten, ob es möglich ist, dass unsere Smartphones uns heimlich abhören können – über das Mikrofon oder mithilfe der Daten aus den eingebauten Bewegungssensoren.
Die BR-Recherchen haben gezeigt, dass die Test-App wie theoretisch jede andere App unter Umständen Gespräche mithören kann. Bei Android-Geräten sei es demnach erst ab Android-Version 11 nicht mehr möglich, das Mikrofon heimlich auch bei ausgeschaltetem Bildschirm anzuschalten und über längere Zeiträume unbemerkt mitzuhören. Mittlerweile zeigt ein kleiner farbiger Punkt in der oberen Symbolleiste an, ob das Mikrofon angeschaltet ist. Bei Apple-Geräten sei es dagegen lange Standard, dass optisch angezeigt werde, wenn das Mikrofon aktiviert ist. Die Nutzerinnen und Nutzer hätten somit die Chance zu erkennen, dass es aktiv ist. Um zu verhindern, dass eine App das Mikrofon heimlich anschaltet, wenn sie noch im Hintergrund läuft, rät das BR-Team dazu, Apps nach der Nutzung richtig zu schließen.
Was sich dagegen nicht deaktivieren lässt und worauf alle Apps uneingeschränkt Zugriff haben, sind die Bewegungssensoren im Handy. Accelerometer und Gyroskop messen beispielsweise unsere Schritte oder sorgen dafür, dass das Handy sich im Raum orientieren kann. Aber ist es mithilfe dieser Sensoren möglich, Gespräche mitzuschneiden? Wissenschaftliche Untersuchungen haben bereits gezeigt, dass sich aus den Daten Wörter rekonstruieren lassen. Die Daten können darüber hinaus noch viel mehr verraten – beispielsweise wer mit wem im Auto oder einem Zug unterwegs ist, so das BR-Team. Bereits seit einiger Zeit interessieren sich deshalb auch Tech-Konzerne für diese Daten und sammeln sie ohne augenscheinlichen Grund.
Den BR-Recherchen zufolge konnten die Testhandys keine Gespräche aus den Sensordaten mitschneiden, wenn normal neben ihnen gesprochen wurde. Beim Telefonieren, dem Abhören von Sprachnachrichten oder Musik sei das dagegen eindeutig der Fall gewesen. Sobald etwas über den Lautsprecher abgespielt worden sei, hätten die Daten prägnante Ausschläge gezeigt. Beim Android-Handy im Test habe man sofort unterscheiden können, ob etwa gesprochen wurde oder Musik lief.
Das große Fragezeichen bleibt
Aber hören uns die Apps tatsächlich ab oder nutzen Tech-Unternehmen die Bewegungsdaten, um mehr über uns zu erfahren, um dann zum Beispiel speziell auf uns abgestimmte, personalisierte Werbung zu schalten? Das bleibt allenfalls eine Vermutung, für die es einige Indizien gibt. Sicherheitsforscher warnen jedoch, dass es besorgniserregend sei, dass die Bewegungsdaten etwa Informationen zu Standort, Aktivitäten, Gesundheitszustand, Gender, Alter oder Persönlichkeit liefern könnten.
Auch das BR-Team weist deutlich darauf hin, dass komplett unklar sei, ob eine App die Daten nutzt, um uns heimlich auszuspionieren. Und das, obwohl sie sich große Mühe gegeben haben, genau das herauszufinden: Sie haben auch das Verhalten der Apps analysiert, um herauszufinden, auf welche Daten sie zugreifen. Doch die meisten von ihnen seien so programmiert, dass sie merkten, wenn sie "beobachtet" werden und sich entsprechend davor schützten.
(kie)