SIMSme-Messenger der Deutschen Post

Der neue Messenger von der Deutschen Post spricht angeblich nur mit deutschen Servern und ist vom TÜV geprüft und damit “sicher”. Dann schauen wir mal, mit wem die App so spricht:

Zum ersten Start der App: Verbindung mit Server 194.42.93.243, laut einigen Geo-IP-Datenbanken im UK oder in der Schweiz, andere sehen die IP in Berlin. Unterstellen wir der Post mal nur eine unglückliche Weiterverwendung einer IP, die vorher im Ausland stand.

simsme-geoip

Na gut, weiter im Text. Beim ersten Start der App geht diese Information über das Kabel:

https://test.docwallet-de.de/aio/startup
mac_md5=...&session_count=1&idfa=...environment=production&created_at=2014-08-13T1...&App_token=...&mac_sha1=...&ios_uuid=...&tracking_enabled=0

Außerdem der Gerätetyp iPhone6,2, iOS-Version und Systemsprache

User-Agent: release.de.dpag.simsme 141 iPhone iPhone6,2 ios 7.1.2 en DE

Zurück kommt ein “Tracker”-Token für die App, die dich nicht trackt:

{"tracker_token":"...","tracker_name":"Organic","network":"Organic","country":"gb"}

Die App schickt dem Anschein nach die gehashte MAC-Adresse und Geräte-ID, genau das, was die App laut ihrer eigenen Privacy-Policy nicht tun sollte. Auch wenn eine App unter iOS 7 weder an MAC noch Geräte-ID kommen sollte, irgendetwas wird übertragen, zumindest aber der Ad-Identifier. Die Privacy-Policy spricht außerdem nur von nutzungsbasierten Werten, wie der Anzahl der Logins und der verschickten Nachrichten. Von Gerätemerkmalen ist nicht die Rede – nur von Crash-Logs, die aber auch wieder solche Werte enthalten könnten.

In der Privacy-Policy innerhalb der App lässt sich angeblich dieses Verhalten abschalten, aber bis zu dieser Einstellung kommt man erst während des Durchlaufens der Anmeldeprozedur. Ob das Deaktivieren dieser Einstellung wirklich den Versand der Gerätemerkmale unterbindet, kann ich nicht überprüfen.

Während der weiteren Anmeldung folgen für fast jeden weiteren Klick Tracking-Events an

https://test.docwallet-de.de/aio/event
ios_uuid	...
idfa	...
event_count	1
session_count	1
environment	production
event_token	...
time_spent	435
session_length	435
created_at	2014-08-13T16:...
app_token	...
tracking_enabled	0
subsession_count	1
mac_md5	...
mac_sha1	...

Die weitere Anmeldung läuft dann mit simsme-prod.docwallet-de.de/194.42.93.59

Ebenfalls im gleichen UK/Berlin-Netz, aber immerhin mit gepinntem Zertifikat, was das mitlesen etwas erschwert.

Im nächsten Schritt wird die Mobilfunknummer per SMS verifiziert, und das Adressbuch (angeblich nur gehasht) hochgeladen.

SIMSme Kontakte

Wer sich weigert, kommt nicht weiter. Die App lässt sich allerdings durch langes Drücken des Icons und anschließendes Tippen auf das ×-Zeichen umweltgerecht entsorgen.