Wer sich eine App für sein Smartphone herunterlädt, der muss damit rechnen, dass er ausspioniert wird. Zahlreiche Studien haben ergeben, dass die kleinen Helferlein oft allzu neugierig sind und persönliche Informationen des Benutzers preisgeben, ohne dass er dazu seine Zustimmung gegeben hat.
Meist gehen die Informationen gar nicht an den Hersteller der App, sondern an ein Advertising-Netzwerk oder einen professionellen Nutzungsauswerter wie Flurry. Eine im Dezember veröffentlichte Studie im Auftrag des Wall Street Journal kommt zu einem erschreckenden Ergebnis: Von 101 untersuchten Apps für Android und iOS haben 56 die eindeutige Geräte-ID versandt. 47 haben den Standort übermittelt und fünf gaben gar persönliche Informationen wie Alter und Geschlecht preis.
Zu ähnlichen Ergebnissen kommt auch das Team um Manuel Egele von der TU Wien, das die Software PiOS (PDF) entwickelt hat. Damit lassen sich iOS-Apps, die in Objective-C geschrieben wurden, auf Privacy-Leaks untersuchen. Egele und sein Team haben 1407 iPhone-Apps getestet. Dabei untersuchten sie sowohl Apps aus dem App Store von Apple als auch solche von Cydia, einer alternativen Plattform, die nur von iPhones mit Jailbreak genutzt werden kann.
iPhone-Apps, die persönliche Daten übermitteln | ||||||
App Store | Cydia | Gesamt | ||||
---|---|---|---|---|---|---|
Absolut | Prozent | Absolut | Prozent | Absolut | Prozent | |
DeviceID (UDID) | 170 | 20,6% | 25 | 4,3% | 195 | 13,9% |
Aufenthaltsort | 35 | 4,2% | 1 | 0,2% | 36 | 2,6% |
Adressbuch | 4 | 0,5% | 1 | 0,2% | 5 | 0,4% |
Telefonnummer | 1 | 0,1% | 0 | 0,0% | 1 | 0,1% |
Browserhistorie | 0 | 0,0% | 1 | 0,2% | 1 | 0,1% |
Fotos | 0 | 0,0% | 1 | 0,2% | 1 | 0,1% |
Quelle: Manuel Egele / iseclab.org
Auffälligstes Ergebnis ist, dass Apps aus dem Cydia-Store weitaus weniger neugierig sind als die aus dem App Store. Das lässt sich damit erklären, dass Apple angeblich alle Apps genauestens prüft, bevor sie in den App Store aufgenommen werden. Dadurch vertrauen die Anwender diesen Apps. Bezüglich des Datenschutzes scheint Apple die Prüfung aber nicht so genau zu nehmen. So findet man im App-Store sogar eine App, die die Telefonnummer des Nutzers ausspioniert.
Hauptsächlich gibt es zwei Gruppen die an persönlichen Daten des Nutzers interessiert sind: Zum einen sind das Advertising-Dienste wie Googles AdMob, zum anderen sind es die App-Hersteller selbst, die möglichst viel über das Nutzungsverhalten erfahren möchten. Dabei bedienen sie sich meist eines Analyseunternehmens wie Flurry oder Pinchmedia, das inzwischen von Flurry gekauft wurde.
Meist wird dabei untersucht, wie Anwender die Applikation nutzen. Bei Desktop-Programmen sind zumindest die großen Hersteller inzwischen dazu übergangen, den Anwender vorher um Erlaubnis zu fragen, ob er damit einverstanden ist. Meist sieht man während der Installation eine Frage mit einem Text wie "Möchten Sie durch das Senden von anonymen Nutzungsstatistiken am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen?"
Bei Smartphone-Apps hat man hingegen meist keine realistische Chance, sich dagegen zu wehren. In manchen Fällen muss man pauschal die Nutzungsbedingungen akzeptieren, um das Programm nutzen zu können. Oft fragen die Apps auch gar nicht nach.
Teilweise wird sehr detailliert übermittelt, was der Benutzer mit der App macht, wie Bild 1 zeigt. Mit einem Netzwerk-Analyse-Tool wie Wireshark erkennt man, dass das Spiel "Angry Birds" den detaillierten Verlauf jedes Spiels an Flurry übermittelt. Zweifelsohne ist es für den Entwickler der App sehr nützlich zu erfahren, ob eventuell die Einstiegslevel zu schwer sind und viele Benutzer die App deshalb nicht mehr einsetzen. Ohne explizite Einwilligung ist die Datenübermittlung jedoch zumindest bedenklich.
Im Wesentlichen entscheidet die App selber, welche Daten sie übermittelt. Das kann auch der per GPS oder WLAN ermittelte Standort des Benutzers sein. Eine Kontrolle darüber gibt es nicht.
Bei den Advertising-Netzwerken hat man auf einem mobilen Device keine Chance, einer eindeutigen Identifizierung zu entgehen. Auf Desktop-System werden meist Cookies eingesetzt, die man mit Third-Party-Programmen blocken kann. So bietet Internet Explorer 9 etwa die Möglichkeit, die Cookies von als besonders neugierig geltenden Advertising-Netzwerken zu blocken.
Bei den mobilen Ad-Netzwerken ist das nicht der Fall. Alle mobilen Geräte verfügen über eine eindeutige Device-ID. Dazu nimmt man im Zweifel die IMEI, die für den ordnungsmäßigen Betrieb im Mobilfunknetz erforderlich ist. Diese Device-ID senden die mobilen Werbenetzwerke an ihre Server. Ein Abschalten von Cookies wäre sinnlos.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…