Wer sich eine App für sein Smartphone herunterlädt, der muss damit rechnen, dass er ausspioniert wird. Zahlreiche Studien haben ergeben, dass die kleinen Helferlein oft allzu neugierig sind und persönliche Informationen des Benutzers preisgeben, ohne dass er dazu seine Zustimmung gegeben hat.

Meist gehen die Informationen gar nicht an den Hersteller der App, sondern an ein Advertising-Netzwerk oder einen professionellen Nutzungsauswerter wie Flurry. Eine im Dezember veröffentlichte Studie im Auftrag des Wall Street Journal kommt zu einem erschreckenden Ergebnis: Von 101 untersuchten Apps für Android und iOS haben 56 die eindeutige Geräte-ID versandt. 47 haben den Standort übermittelt und fünf gaben gar persönliche Informationen wie Alter und Geschlecht preis.

Zu ähnlichen Ergebnissen kommt auch das Team um Manuel Egele von der TU Wien, das die Software PiOS (PDF) entwickelt hat. Damit lassen sich iOS-Apps, die in Objective-C geschrieben wurden, auf Privacy-Leaks untersuchen. Egele und sein Team haben 1407 iPhone-Apps getestet. Dabei untersuchten sie sowohl Apps aus dem App Store von Apple als auch solche von Cydia, einer alternativen Plattform, die nur von iPhones mit Jailbreak genutzt werden kann.

iPhone-Apps, die persönliche Daten übermitteln

App Store Cydia Gesamt
Absolut Prozent Absolut Prozent Absolut Prozent
DeviceID (UDID) 170 20,6% 25 4,3% 195 13,9%
Aufenthaltsort 35 4,2% 1 0,2% 36 2,6%
Adressbuch 4 0,5% 1 0,2% 5 0,4%
Telefonnummer 1 0,1% 0 0,0% 1 0,1%
Browserhistorie 0 0,0% 1 0,2% 1 0,1%
Fotos 0 0,0% 1 0,2% 1 0,1%


Quelle: Manuel Egele / iseclab.org

Auffälligstes Ergebnis ist, dass Apps aus dem Cydia-Store weitaus weniger neugierig sind als die aus dem App Store. Das lässt sich damit erklären, dass Apple angeblich alle Apps genauestens prüft, bevor sie in den App Store aufgenommen werden. Dadurch vertrauen die Anwender diesen Apps. Bezüglich des Datenschutzes scheint Apple die Prüfung aber nicht so genau zu nehmen. So findet man im App-Store sogar eine App, die die Telefonnummer des Nutzers ausspioniert.

Hauptsächlich gibt es zwei Gruppen die an persönlichen Daten des Nutzers interessiert sind: Zum einen sind das Advertising-Dienste wie Googles AdMob, zum anderen sind es die App-Hersteller selbst, die möglichst viel über das Nutzungsverhalten erfahren möchten. Dabei bedienen sie sich meist eines Analyseunternehmens wie Flurry oder Pinchmedia, das inzwischen von Flurry gekauft wurde.

Meist wird dabei untersucht, wie Anwender die Applikation nutzen. Bei Desktop-Programmen sind zumindest die großen Hersteller inzwischen dazu übergangen, den Anwender vorher um Erlaubnis zu fragen, ob er damit einverstanden ist. Meist sieht man während der Installation eine Frage mit einem Text wie "Möchten Sie durch das Senden von anonymen Nutzungsstatistiken am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen?"

Bei Smartphone-Apps hat man hingegen meist keine realistische Chance, sich dagegen zu wehren. In manchen Fällen muss man pauschal die Nutzungsbedingungen akzeptieren, um das Programm nutzen zu können. Oft fragen die Apps auch gar nicht nach.


Bild 1: Das Spiel „Angry Birds“ sendet, ohne nachzufragen, jedes Detail über den Spielverlauf (Screenshot: ZDNet).

Teilweise wird sehr detailliert übermittelt, was der Benutzer mit der App macht, wie Bild 1 zeigt. Mit einem Netzwerk-Analyse-Tool wie Wireshark erkennt man, dass das Spiel "Angry Birds" den detaillierten Verlauf jedes Spiels an Flurry übermittelt. Zweifelsohne ist es für den Entwickler der App sehr nützlich zu erfahren, ob eventuell die Einstiegslevel zu schwer sind und viele Benutzer die App deshalb nicht mehr einsetzen. Ohne explizite Einwilligung ist die Datenübermittlung jedoch zumindest bedenklich.

Im Wesentlichen entscheidet die App selber, welche Daten sie übermittelt. Das kann auch der per GPS oder WLAN ermittelte Standort des Benutzers sein. Eine Kontrolle darüber gibt es nicht.

Bei den Advertising-Netzwerken hat man auf einem mobilen Device keine Chance, einer eindeutigen Identifizierung zu entgehen. Auf Desktop-System werden meist Cookies eingesetzt, die man mit Third-Party-Programmen blocken kann. So bietet Internet Explorer 9 etwa die Möglichkeit, die Cookies von als besonders neugierig geltenden Advertising-Netzwerken zu blocken.

Bei den mobilen Ad-Netzwerken ist das nicht der Fall. Alle mobilen Geräte verfügen über eine eindeutige Device-ID. Dazu nimmt man im Zweifel die IMEI, die für den ordnungsmäßigen Betrieb im Mobilfunknetz erforderlich ist. Diese Device-ID senden die mobilen Werbenetzwerke an ihre Server. Ein Abschalten von Cookies wäre sinnlos.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

11 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

11 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

18 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago