Das sagt die Redaktion
Padlet ist eine Kooperations-App, bei der mehrere Nutzer*innen gemeinsam an Inhalten arbeiten können. Da das Volltestsystem von App-Check nicht auf Apps ausgelegt ist, die mehrere Geräte erfordern, lässt sich Padlet damit nicht analysieren. Aus einem manuellen Test der mobilsicher-Redaktion liegen jedoch Informationen über das Datensendeverhalten von Padlet vor. Die Ergebnisse fassen wir hier zusammen.Auszug aus dem mobilsicher-Artikel
Zum ganzen App-Porträt von mobilsicher.de geht es hier. Den Test der Android-App (Version 122.0 vom 28. August 2020) haben wir mit einem Google Pixel 2 mit Android 10 durchgeführt, auf dem personalisierte Werbung erlaubt ist. Die App baute eine Internetverbindung zum Anbieter der App (Wallwisher Inc.) sowie zu Internetadressen von sieben weiteren Unternehmen auf. Drei davon erhielten relevante Daten. Kritisch bewerten wir vor allem den Datenversand an den Dienstleister Branch Metrics, der aus der App Informationen zusammen mit der Werbe-ID erhält. Über die Werbe-ID können die Informationen bestehenden Profilen zugeordnet werden. Dies geschieht auch im Gast-Modus ohne Registrierung. Relevante Daten erhielten außerdem Microsoft und Google. Microsoft erhielt den Namen des Mobilfunkanbieters sowie User-Agent mit Build-Nummer. Google erhielt u.a. die Werbe-ID, die Hardware-ID und die IMEI-Nummer. Folgende Internetadressen wurden kontaktiert, erhielten aber keine relevanten Daten: webhook.site, polyfill.io, indicative.com, alexametrics.com (Amazon). Mehr zu diesen Kennnummern können Sie hier nachlesen. Alle Daten wurden im Test transportverschlüsselt versendet. Das in der App angelegte Konto ist standardmäßig für alle anderen Nutzer*innen sichtbar. Erstellte Padlets sind standardmäßig auf „geheim“ gestellt und nur über den Link zugänglich. Wenn Nutzer*innen ein Landkarten-Padlet erstellen, können sie darauf ihren eigenen Standort eintragen. Dazu werden Standortinformationen abgerufen. Laut Datenschutzerklärung speichert Wallwisher diese Standortdaten nicht dauerhaft. Die IP-Adressen werden anonymisiert erfasst und nach 30 Tagen gelöscht. Die eingebundenen Drittanbieter werden von Padlet nicht namentlich genannt. Problematisch ist auch, dass Wallwisher sich vorbehält, Informationen über Nutzer*innen von Drittanbietern hinzuzukaufen.Schnelltest, Version 210.0.0 vom 26.02.2024
In der Installations-Datei der App haben wir Hinweise auf eingebaute Software-Module von einem oder mehreren Drittanbietern gefunden. Diese Analyse ermöglicht nur eine grobe Einschätzung der App. Apps nehmen im Betrieb meistens noch zu weiteren Anbietern Kontakt auf. Umgekehrt werden nicht alle gefundenen Anbieter in jedem Fall kontaktiert. Folgende Anbieter wurden identifiziert:Berechtigungen
Audio aufnehmen
android.permission.RECORD_AUDIO
zustimmungspflichtig
Auf alle Netzwerke zugreifen
android.permission.INTERNET
nicht zustimmungspflichtig
Auf Bluetooth-Einstellungen zugreifen
android.permission.BLUETOOTH_ADMIN
nicht zustimmungspflichtig
Auf genauen Standort zugreifen
android.permission.ACCESS_FINE_LOCATION
zustimmungspflichtig
Auf ungefähren Standort zugreifen
android.permission.ACCESS_COARSE_LOCATION
zustimmungspflichtig
Beim Start ausführen
android.permission.RECEIVE_BOOT_COMPLETED
nicht zustimmungspflichtig
Bilder und Videos aufnehmen
android.permission.CAMERA
zustimmungspflichtig
Google Play-Lizenzprüfung
com.android.vending.CHECK_LICENSE
nicht zustimmungspflichtig
Google Play-Rechnungsdienst (In-App-Käufe)
com.android.vending.BILLING
nicht zustimmungspflichtig
Kopplung mit Bluetooth-Geräten durchführen
android.permission.BLUETOOTH
nicht zustimmungspflichtig
Netzwerkverbindungen abrufen
android.permission.ACCESS_NETWORK_STATE
nicht zustimmungspflichtig
Ruhezustand deaktivieren
android.permission.WAKE_LOCK
nicht zustimmungspflichtig
SD-Karteninhalte ändern oder löschen (ungültig ab Android 10.0)
android.permission.WRITE_EXTERNAL_STORAGE
nicht zustimmungspflichtig
SD-Karteninhalte lesen (ungültig ab Android 10.0)
android.permission.READ_EXTERNAL_STORAGE
nicht zustimmungspflichtig
Telefonstatus und Identität abrufen
android.permission.READ_PHONE_STATE
nicht zustimmungspflichtig
Über anderen Apps einblenden
android.permission.SYSTEM_ALERT_WINDOW
kritisch
Vibrationsalarm steuern
android.permission.VIBRATE
nicht zustimmungspflichtig
Vordergrunddienst ausführen
android.permission.FOREGROUND_SERVICE
nicht zustimmungspflichtig
WLAN-Verbindungen abrufen
android.permission.ACCESS_WIFI_STATE
nicht zustimmungspflichtig
Zugriff auf Audiodateien der SD-Karte (ab Android 10)
android.permission.READ_MEDIA_AUDIO
nicht zustimmungspflichtig
Zugriff auf Bilddateien der SD-Karte (ab Android 10)
android.permission.READ_MEDIA_IMAGES
nicht zustimmungspflichtig
Zugriff auf heruntergeladene Dateien
android.permission.ACCESS_ALL_DOWNLOADS
nicht zustimmungspflichtig
Zugriff auf Videodateien der SD-Karte (ab Android 10)
android.permission.READ_MEDIA_VIDEO
nicht zustimmungspflichtig
