Forscher analysieren Datensammelei von Android-Apps

Wissenschaftler von Intel Labs, der Duke University und der Pennsylvania State University haben untersucht, wie Android-Apps mit sensiblen Daten umgehen, auf die sie zugreifen, sobald sie auf einem Smartphone installiert sind. Bei zwei Dritteln der analysierten Programme sei deren Umgang mit Informationen bedenklich, urteilten die Forscher. Die detaillierten Ergebnisse ihrer Studie „Realtime Privacy Monitoring on Smartphones“ (PDF) stellen sie kommende Woche auf dem USENIX Symposium on Operating Systems Design and Implementation in Vancouver vor.

Die Forscher wählten für ihre Stichprobe per Zufallsprinzip 30 der beliebtesten Android-Apps aus zwölf Kategorien aus. Darunter waren BBC News Live Stream, Bump, Das Telefonbuch, Evernote, MySpace und Solitaire.

Ein eigens entwickeltes Proof-of-Concept-Werkzeug namens TaintDroid (Demo-Video) analysiert in Echtzeit, welche potenziell sensiblen Informationen die ausgewählten Apps sammeln – etwa GPS-Daten, Telefonnummern, Kontakte, die Seriennummer der SIM-Karte sowie die IMEI (International Mobile Equipment Identity), anhand derer sich jedes GSM- oder UMTS-fähige Gerät zweifelsfrei identifizieren lässt.

Die Hälfte der untersuchten Apps leitete Lokalisierungsdaten an Werbeunternehmen oder Analyseserver weiter, ohne „implizit oder explizit die Zustimmung des Anwenders einzuholen“, so die Forscher. Ein Drittel der Programme gab die Geräte-ID weiter, in einigen Fällen inklusive Telefonnummer und Seriennummer der SIM-Karte. Insgesamt fanden die Wissenschaftler bei 20 Apps 68 Beispiele für sensible Daten, die ohne weiteres missbraucht werden könnten.

Die Stichprobe ist nicht repräsentativ – gegenwärtig stehen im Android Market über 70.000 Apps bereit. Es handle sich um eine „qualitative Analyse, um zu sehen, was einige Applikationen tatsächlich tun, und um ein Tool zu testen, diese Aktivitäten in Echtzeit zu analysieren“, erklärt William Enck, einer der Leiter des Projekts, gegenüber ZDNet.

Bevor Anwender eine Applikation aus dem Android Market herunterladen können, müssen sie per Klick einen Hinweis darauf bestätigen, auf welche Daten und Ressourcen die App zugreift. Hier wird allerdings nicht klargestellt, was mit den gesammelten Informationen geschieht. „Nutzer müssen vorsichtig sein, welche Apps sie installieren, und sich das Zustimmungsfenster genau ansehen“, rät Enck. „Es ist dasselbe wie auf einer Website: besser Vorsicht als Nachsicht.“

Apps sollten über eine Endbenutzer-Lizenzvereinbarung (EULA) verfügen, in der detailliert aufgeführt ist, was sie mit den gesammelten Daten anstellen, fordern die Wissenschaftler. Nur wenige der untersuchten Programme besaßen eine EULA, und in keiner wurde erklärt, was mit den Informationen passiert.

„Bei allen Computern, egal ob Desktop oder Mobilgerät, müssen Anwender notwendigerweise wenigstens einen Teil ihrer Daten den App-Entwicklern zur Verfügung stellen“, erklärte ein Google-Sprecher gegenüber ZDNet. Google habe bereits Schritte unternommen, Android-Nutzer über dieses Vertrauensverhältnis zu informieren und den Grad an Vertrauen zu reduzieren, den sie Entwicklern entgegenbringen müssen. „Wir weisen fortwährend darauf hin, dass Anwender nur Apps installieren sollen, denen sie vertrauen“, so der Google-Sprecher.