Das einzige, was von Android selbst gesendet wird, ist die Prüfung des Captive-Portals: eine einzelne Verbindung zu einem Google-Webserver, die keine persönlichen oder speziellen Daten enthält. Google Cloud Messaging stellt auch über SSL eine Verbindung zu einem Server her, um Push-Benachrichtigungen zu erhalten, die auf Ihr Telefon warten.
Jede App auf Ihrem Telefon kann sich jedoch registrieren, um benachrichtigt zu werden, wenn eine Wi-Fi-Verbindung verfügbar wird. Wenn also eine App mit einem Server synchronisiert werden sollte, wurde dies möglicherweise im Hintergrund ausgeführt, sobald Ihr Telefon eine Verbindung hergestellt hat. Das kann jede App sein, die mit einem Server synchronisiert wird. Viele Apps senden Analysen oder Absturzberichte im Hintergrund, auch wenn dies nicht mit ihrer Hauptfunktionalität zusammenhängt. Sie können anschließend nicht feststellen, welche Apps zu diesem Zeitpunkt möglicherweise eine Verbindung hergestellt haben, es sei denn, die App selbst teilt Ihnen mit, wann sie zuletzt synchronisiert wurde (oder ob Sie benachrichtigt wurden oder ob zu diesem Zeitpunkt neue Daten eingetroffen sind).
Gut geschriebene Apps (einschließlich aller Google-Apps) verwenden SSL, um Verbindungen zum Server zu sichern, sodass Informationen auch in einem feindlichen Wi-Fi-Netzwerk nicht abgefangen werden können. Allerdings sind nicht alle Apps so gut geschrieben und die Server, mit denen Sie eine Verbindung herstellen, sind unabhängig davon im Netzwerk sichtbar. Selbst wenn jede von Ihnen verwendete App SSL korrekt verwendet, weist die Tatsache, dass sie mit dem Server synchronisiert werden, einen Angreifer darauf hin, dass Sie diese App / diesen Dienst verwenden. Dies ist ein Grund, warum Sie möglicherweise ein immer aktives VPN wünschen, auch wenn Sie normalerweise keine offenen Netzwerke verwenden.
