Interviews

Spionierende Smartphone-Tastaturen

Andreas Th. Fischer

Andreas Th. Fischer

4 min read
Spionierende Smartphone-Tastaturen
Photo by Joe Gadd / Unsplash

Die vor kurzem präsentierten neuen Nutzungsbedingungen für Facebook haben zu einer heftigen Diskussion um den Datenschutz von Messenger-Apps geführt. Aber wie sieht es bei den Smartphone-Tastaturen aus, die viele Nutzer auf ihreN Mobilgeräten installiert haben? Nach Aussage von David Eberle nicht gut. Er ist CEO des Schweizer Softwareherstellers Typewise, der selbst eine eigene Smartphone-Tastatur entwickelt hat.

Viele Tastatur-Apps für Android und iOS sammeln nach Aussage von Eberle weit mehr Daten als nötig ist. Typewise verfolgt dagegen einen Offline-Ansatz und nutzt dafür eine lokale KI, die ähnlich gute Ergebnisse bei der Erkennung von Tippfehlern erreichen soll wie die Konkurrenz - ohne dabei allerdings Kompromisse beim Datenschutz einzugehen.

Wir haben mit David Eberle über die Datenschutz-Situation bei Smartphone-Tastaturen gesprochen und ihn um konkrete Beispiele gebeten.

Interview mit David Eberle, CEO von Typewise

Herr Eberle, Sie sagen, dass viele Tastatur-Apps persönliche Daten der Nutzer sammeln. Was hat es damit auf sich?

David Eberle, CEO von Typewise

David Eberle: Hunderte Millionen von Smartphone-Nutzern verwenden Tastatur-Apps von Drittanbietern, um ein besseres Tipperlebnis zu erhalten und um das Aussehen und die Haptik anzupassen. Das gilt insbesondere auf Android-Geräten, aber teilweise auch auf Produkten von Apple. Beliebte Apps sind zum Beispiel Gboard oder SwiftKey, aber auch Go Keyboard oder Kika Keyboard. Zusammen verzeichnen diese Apps über eine Milliarde Installationen.

Und das ist ein Problem?

Eberle: Ja, da die meisten Software-Tastaturen von Drittanbietern eine lange Liste von Berechtigungen auf dem Smartphone des Benutzers erfordern. Ohne diese funktionieren sie nicht. Einerseits benötigen sie diese Berechtigungen für das Trainieren ihrer KI-Algorithmen (Künstliche Intelligenz), andererseits um Funktionen wie Sticker oder GIFs bereitzustellen. Dadurch können sie alles aufzeichnen und übertragen, was der Benutzer einschließlich seiner E-Mails und Social-Media-Nachrichten tippt bis hin zu seiner GPS-Position und seinem Browserverlauf.

Können Sie konkrete Beispiele nennen?

Eberle: Obwohl die meisten Tastaturanbieter behaupten, dass sie Wert auf das Thema Datenschutz legen, zeigen zahlreiche Skandale, dass das Datenschutzrisiko real ist. Sie betreffen Millionen von Nutzern.

Im Jahr 2017 entdeckte Adguard, ein Anbieter von Werbeblockern, dass Go Keyboard mit 200 Millionen Nutzern (hergestellt von GOMO, einem chinesischen IT-Unternehmen) Informationen sammelte und Banner austauschte. Im selben Jahr sickerten bei Ai.type, das von einem israelischen IT-Unternehmen hergestellt wird, persönliche Daten von 31 Millionen Nutzern durch. Im Juni 2019 wurde Ai.type aus den App-Stores entfernt, nachdem Forscher herausgefunden hatten, dass die App unautorisierte Käufe tätigte und ihre Nutzer um mindestens 18 Millionen Dollar betrog. Möglicherweise sogar um viel mehr.

In ähnlicher Weise wurden auch das chinesische Kika Keyboard mit über 250 Millionen Nutzern und TouchPal mit über 150 Millionen Nutzern Ende 2018 beziehungsweise Mitte 2019 entfernt, nachdem bösartige Werbepraktiken entdeckt worden waren. Im Januar 2020 berichtete dann der norwegische Verbraucherrat, dass Wave Keyboard mit über 10 Millionen Nutzern Nutzerdaten mit Werbenetzwerken von Drittanbietern teilte, obwohl der Anbieter seinen Nutzern mitteilte, dass genau dies nicht geschehen würde. Im Februar 2020 wurden dann die meisten mobilen Apps von Cheetah mit insgesamt über 100 Millionen Nutzern aufgrund illegaler Datensammlungspraktiken aus dem Google Play Store entfernt.

Was steckt dahinter?

Eberle: Es muss nicht einmal böswillige Absicht sein. Im Jahr 2016 hat Swiftkey mit über 500 Millionen Nutzern (jetzt im Besitz von Microsoft) Nutzerdaten vertauscht und private Inhalte wie E-Mail-Adressen dem falschen Nutzer angezeigt. Auch Google ist in eine Datenschutzklage verwickelt. Allerdings nicht direkt wegen Gboard. Der Vorgang unterstreicht aber, wie sich vermeintlich datenschutzfreundliche Software in das Gegenteil verwandeln kann.

Wie sieht es mit den Originaltastaturen aus, die in iOS und Android zu finden sind? Sammeln die auch Daten über ihre Nutzer?

Eberle: Apple sammelt nach eigener Aussage keine Daten. Dadurch entstehen unter iOS mit Abstand die meisten Tippfehler. Auch ein Ändern der Sprache muss manuell durch den Nutzer erledigt werden. Außerdem sind keine Emojis integriert. Bei Android gibt es gar keine „Originaltastatur“. Stattdessen wird vom jeweiligen Hersteller des Geräts eine Tastatur installiert. Oft ist es Gboard oder SwiftKey. Beide sammeln Daten. Dies kann allerdings abgeschaltet werden.

Wie kann man es besser machen?

Eberle: Notwendig ist eine intelligente Tastatur, die „Private-by-Design“ ist und bei der alle Nutzer- und Tippdaten auf dem Gerät verbleiben, ohne über das Internet übertragen zu werden. Dies erfordert ausgeklügelte KI-Algorithmen. Sie müssen leistungsfähig genug sein, um das individuelle Tippverhalten des Benutzers zu erlernen und somit Tippfehler gut erkennen und korrigieren zu können. Gleichzeitig muss alles offline erfolgen. Ein solches Privacy-by-Design-System ist technologisch sehr anspruchsvoll, da es nicht direkt von der Crowd Intelligence profitieren kann.

Die Smartphone-Tastatur Typewise sammelt nach Angaben des Anbieters keine Tippdaten.

Wir entwickeln eine solche Tastatur. Unsere Typewise-App überträgt keine Tippdaten. Das Keyboard selbst läuft in einer Sandbox. Der Nutzer kann zusätzlich einen Offline-Modus aktivieren, wenn er die App komplett abkapseln will. Die dafür benötigte KI entwickeln wir gemeinsam mit dem Data Analytics Lab der ETH Zürich. Typewise 3.0, das im März dieses Jahres erscheinen wird, verfügt über eine deutlich verbesserte Autokorrektur, die wir kürzlich als Patent eingereicht haben.

[Dieser Beitrag wurde ursprünglich im IT Security Newsletter (RIP) veröffentlicht.]

Read more