Am 09. Mai 2022 erhielt die TU Chemnitz Hinweise zu möglichen Datenschutzverletzungen in der TUCapp, welche sich zu unserem großen Bedauern bestätigen ließen. Bereits am 11. Mai wurden erste Sicherheitsmaßnahmen ergriffen, die mit dem Update am 3. Juni 2022 allen Nutzenden im Playstore zur Verfügung stehen.
Für App-Versionen die kein Update erhalten haben (Version < 2.0.32), werden weiterhin personenbezogenen Daten übermittelt. Wir empfehlen Ihnen, unverzüglich die neuste Version zu installieren, um weitere ungewollte Datenübermittlungen zu unterbinden.
Welche personenbezogene Daten wurden ungewollt übermittelt?
Daten der Endgeräte:
- Betriebssystem (iOS/Android) und dessen Version auf dem Endgerät
- Modellbezeichnung des Endgerätes
- Bildschirmbreite und -höhe
- Zeitzone des Endgerätes
- eingestellte Sprache des Systems
- Sind die Barrierehilfen aktiviert?
- Ist die Expo-App installiert?
- Ist das Endgerät gerootet?
- Bildschirmhelligkeit des Endgerätes
- Wird das Endgerät gerade bewegt und in welche Richtung?
- freier Festplattenspeicher des Endgerätes
- Kapazität und freie Kapazität des Arbeitsspeichers
- Ladezustand des Akkus bzw. ob gerade der Akku geladen wird
App-Daten:
- Name und ID im AppStore der TUCapp
- App-Version und Store-Version der TUCapp
- Größe der installierten App
- Läuft die App in einem Emulator?
- Ist die App eine Debug-Version?
Verbindungsdaten:
- Sendezeit der Tracking-Verbindung
- Art des Netzwerks, über das die Tracking-Daten gesendet werden
- ID und Startzeit der Tracking-Session
Google-Analytics
Bei der Nutzung der TUCapp werden Daten an Google-Analytics übermittelt. Die Übermittlung wird nicht aktiv durch die App hervorgerufen. Wahrscheinlich werden die Daten übermittelt, wenn man Android oder den Google-Playstore nutzt.
Unnötiger Download von App-Daten aus der Cloud
Bei jedem Start der App (betrifft die iOS-Version) werden für die TUCapp benötigte Bilder und Schriftarten von Cloud-Services geladen, wodurch die IP-Adresse des Handys an Amazon und Expo weitergeben wird. Die Benutzung der Cloud-Dienste konnte durch eine Anpassung des App-Erstellungsverfahrens deaktiviert werden.
Ursache des Datenschutzvorfalls und zukünftige Strategien
Ursache für die Übertragung ist die ungewollte Einbindung von Tracking-Bibliotheken. Als Basis der App wird Expo.io als etablierte Technologie verwendet. Leider fügte diese beim Erstellen ungewollte Tracking-Mechanismen in die TUCapp ein – unter anderem einen aktiven Tracker, der Daten an Facebook übermittelt. Dieser Tracker ist in neueren Versionen (ab 2.0.32) deaktiviert. Aus den genannten Daten kann ein digitaler Fingerabdruck erstellt werden.
Um bei zukünftigen App-Versionen ungewollte Datenübermittlungsvorgänge zu verhindern, werden bei jedem Update der Standard-Open-Source-Software Expo.io zusätzliche Tests durchlaufen.
Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO oder
Art. 10 DSGVO sind nach derzeitigem Kenntnisstand vom Vorfall nicht betroffen.
Bei weiteren Fragen zur Datenschutzverletzung wenden Sie sich gern an den Datenschutzbeauftragten der TU Chemnitz (Gernot Kirchner, Straße der Nationen 62, R.
1/117 (neu: A14.117), 09111 Chemnitz, Tel: +49 371 531-12030, Fax: +49 371 531-12039, E-Mail: datenschutzbeauftragter@tu-chemnitz.de) oder das Universitätsrechenzentrum (E-
Mail: support@hrz.tu-chemnitz.de).
Weitere Informationen zur TUCapp können regelmäßig über einen eigenen TUCapp-Blog bezogen werden.
Gibt es Fortschritte bei der Bereitstellung der TUCapp unter einer Open-Source-Lizenz?
Ja, organisatorisch gibt es Fortschritte, allerdings noch keine für Nutzer sichbtaren. 🙂 Wir bleiben dran.