TikTok sammelte monatelang die MAC-Adressen von Nutzern

Um TikTok gibt es aktuell viel Rummel: Microsoft liebäugelt mit einer Übernahme. Der US-Präsident Donald Trump wiederum will die Videoplattform aus den Vereinigten Staaten verbannen, sollten die Redmonder nicht zu einer Einigung kommen. Der Vorwurf: Die Daten der US-Nutzer seien nicht sicher. Der Anbieter selbst ist sich keiner Schuld bewusst und verleiht sich einen Heiligenschein. Doch der Schein kann trügen, denn ca. 18 Monate lang schnitt TikTok über seine Android-App die MAC-Adressen der Nutzer mit.

Das kam zumindest bei einer Untersuchung des Wall Street Journals heraus. Durch die MAC-Adressen lassen sich Nutzer bzw. deren Geräte eindeutig identifizieren. Diese eindeutigen Zuordnungen sind natürlich für Werbetreibende und andere Formen des Trackings spannend, eigentlich aber von Google in den Richtlinien des Google Play Stores schon seit 2015 ausgeschlossen. TikTok soll ein Schlupfloch genutzt haben, um noch bis zum November 2019 dennoch MAC-Adressen zu erfassen.

TikTok war nicht der einzige Anbieter, der so verfahren ist – ca. 350 andere Apps sollen die gleiche Lücke beansprucht haben. Auf Anfrage kommentierte TikTok die Lage mit wenig Reumut. Man wies lediglich darauf hin, dass die aktuellste Version der Android-App keine MAC-Adressen mehr erfasse.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. Inwiefern sind diese eindeutigen Zuordnungen natürlich für Werbetreibende und andere Formen des Trackings spannend? Also was genau ist damit anzufangen?

    • Werber/Tracker wollen eindeutige IDs, um zielgerichtet Werbung auszuliefern. Das „Gute“ an MAC-Adressen ist, dass sie statisch sind und sich nicht verändern lassen. Sogar nach Neuinstallation, Wechsel des Besitzers, usw. Je länger man einen Nutzer mit einer eindeutigen ID stalken kann, desto mehr Daten kann man sammeln.

      Nicht so Werbe-IDs. Die kann man selbstständig zurücksetzen. Man kann die Tracker auch höflich fragen, die Werbe-ID nicht zu verwenden (Interessenbezogene Anzeigen deaktivieren). Natürlich interessiert das niemanden, die Tracker lesen die trotzdem aus.

      Immerhin kann man in Android die ID selbst zurücksetzen. Das kann man regelmässig machen. In iOS kann man die manuell auf 0 setzen. In iOS 14 ist die immer 0 und Apps müssen um Zugriff auf eine eindeutige ID fragen.

      • Also werden mit der MAC zusätzliche Daten übertragen, die ein Bewegungsmuster, Kaufinteressen und Konsumentenverhalten ableiten lassen?

        • Die hilft zumindest dabei, solche Daten zu erheben und zu einem eindeutigen Profil hinzuzufügen. Nicht nur die MAC, auch andere Identifier wie Werbe-IDs oder Cookies. Der Unterschied ist wie gesagt, dass Werbe-IDs und Cookies nicht statisch sind oder sich sogar löschen lassen. Die MAC-Adresse ist immer gleich, so lange das Gerät existiert. Also heute, nächsten Monat und in zwei Jahren. Alles was man während der Zeit machst ist in einem Profil.

          • Verstehe, danke dir!

            • André Westphal says:

              Du kannst z.b. auch in den meisten Routern einen MAC-Filter anlegen und so gezielt Geräte blockieren oder aber nur Geräte mit bestimmten MAC-Adressen ins Netzwerk lassen.

              Ist also generellzur eindeutigen Gerätezuordnung gedacht, nicht nur bei sowas wie Tracking.

          • Das mit der MAC Adresse stimmt mir zum Teil. Diese kann geändert werden mit den nötigen Mitteln.

            • Ja, die kann man spoofen. Betriebssysteme machen das heutzutage sogar selbst, wenn sie nach verfügbaren WiFi-Netzwerken suchen. Das hilft einem aber auch nicht, wenn man erst im Nachhinein erfährt, dass man die programmatisch auslesen kann, obwohl das eigentlich nicht mehr möglich sein sollte.

            • Nutzer sind auch ohne auslesen von MAC Adressen und Cookies eindeutig identifizierbar.
              Da hilft noch nicht mal ein Pi-Hole.

  2. Amazon etwa nicht?

    Wenn ich mich von einem Arbeits-PC oder sonstigem Gerät (erstmalig) in meinen Amazon-Account einlogge, dann erhalte ich folgende Meldung von Amazon an meine ursprünglich bei Konto-Einrichtung angegebene E-Mail-Adresse:

    Betreff: Amazon-Sicherheitsalarm: Anmeldung erkannt
    Wir haben eine Anmeldung bei Ihrem Konto von einem neuen Gerät erkannt.
    Wann:
    Gerät: zB. Firefox Windows
    In der Nähe: Bundesland

  3. Juckt doch keinen. Bei Facebook juckt es doch keinen wie mit den Daten umgegangen wird.

  4. Ich nutze TikTok nicht; Dahingehend könnte mir das ziemlich am A**ch vorbeigehen. Was mir aber nicht einleuchtet ist, dass TikTok als erstes genannt wird, die 350 anderen Apps aber weder mit Namen auftauchen noch in einer einsehbaren Liste (Linkliste oder App-Namen) identifizierbar sind.
    Vielleicht liegt es ja daran, dass diese ominösen „350 anderen Apps“ von Amerikanischen Firmen stammen.

    • Eine Headline mit Tiktok verkauft sich momentan einfach besser als eine mit anderen Apps.
      Es ist wie bei fast allem in Internet, alles für die Klicks.
      Und ich meine das gar nicht despektierlich.

    • Appcensus, 2018, MAC sind tolle Suchworte dafür. Spannend ist auch, dass die Sicherheitslücke, mit der das passiert, seit einem Jahr im Bugtracker von Google verrottet.

  5. Na, da ist TikTok in den Verhandlungen mit Microsoft noch zu teuer, wa? Oder welchen Sinn macht es, dass man mit einem Verhalten von letztem Jahr haussieren geht? Von der Nachlässigkeit Googles diese Lücke zu stopfen, wollen wir gar nicht reden.

    https://www.google.de/amp/s/www.wsj.com/amp/articles/tiktok-tracked-user-data-using-tactic-banned-by-google-11597176738

    • Das ganze hört sich für mich aber schon etwas an den Haaren herbeigezogen an. Das große Unternehmen von Data Mining und Werbung leben ist eh klar und tiktok ist hier mit Sicherheit gut dabei. Aber ob die Mac Adresse eines Handys hier gross was zum traking beiträgt, wage ich mal zu beweifeln. Wieso sollte man auf einen identifier setzten, der auf dem Handy die meiste Zeit nicht mal verwendet bzw. gesendet wird, wenn es sehr viele Alternativen gibt die immer gehen. Geht wohl eher wieder um die Rechtfertigung von Trump, wieso er ein Unternehmer für seine eigenen Zwecke verkaufen darf.

  6. Man kann die Mac-Adresse in Sekunden verändern… also wenn da dieser schlimme Datendiebstahl war :O ohje ohje … bald wissen sie auch das wir Menschen und nicht Echsen sind :O

  7. Komisch dass es die Amis immer auf die erfolgreichen Chinesischen Unternehmen abgesehen haben. Huawei war auf dem Weg die Nummer 1 zu werden, die Reaktion der Amis kennen wir alle, TikTok ist einer der beliebtesten Apps momentan und schon wieder lassen sich die Amis etwas einfallen. Jetzt fehlt nur noch der Zuckerberg als Kaufinteressent.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.