38 Prozent aller iOS-Apps greifen nach wie vor auf UDID zu

Bei einer Untersuchung der 550 am häufigsten eingesetzten iOS-Apps hat das Sicherheitsunternehmen Zscaler herausgefunden, dass 38 Prozent von ihnen weiterhin auf die UDID (Unique Device Identifier) zugreifen. Dabei akzeptiert Apple schon seit Mai 2013 keine Anwendungen mehr für seinen App Store, die auf die Geräte-ID zugreifen wollen. Außerdem führte es bereits mit iOS 6 neue APIs ein, die die UDIDs ersetzen.

Der Unique Device Identifier erlaubt eine eindeutige Geräte-Identifizierung und somit das Tracking des Nutzerverhaltens. Die eindeutigen Gerätekennungen werden seit Jahren von Werbenetzwerken genutzt, um Werbung zielgerichtet zu verteilen. Da App-Entwickler die Kennungen häufig mit Namen der Nutzer, Passwörtern, Handynummern und weiteren Daten verbanden, entstanden zahlreiche, oft unzureichend gesicherte und in jedem Fall wenig kontrollierte Datenbanken, mit umfangreichen persönliche Informationen über die Gerätenutzer.

Zscaler weist ausdrücklich darauf hin, dass man sich im Gegensatz zu anderen, vergleichbaren Untersuchungen nicht darauf beschränkt habe, zu prüfen, ob eine App grundsätzlich bestimmte Funktionen ausführen könnte, sondern ob sie das auch tatsächlich tut. Dazu war allerdings ein Jailbreak der zu dem Test herangezogenen iPhones erforderlich – sonst hätten die Experten nicht den erforderlichen Einblick bekommen.

Dass 38 Prozent der beliebtesten Apps immer noch Zugriff auf die UDID fordern, ist aus Sicht von Zscaler deshalb besorgniserregend, weil die App-Entwickler dadurch das Nutzerverhalten über mehrere Apps hinweg analysieren und so einzelne Nutzer zweifelsfrei identifizieren können. Außerdem könnten die UDIDs mit Mobilfunknummer, Namen und Passwörtern Standortdaten und anderen Informationen verknüpft werden.

Apples neuer Ansatz, die UUID (Universally Unique Identifier), ist zwar theoretisch sicherer, lässt sich aber auch austricksen. Die UUID ist pro App und Gerät einmalig. Wird die App auf dem Gerät gelöscht und später neu installiert, entsteht auch eine neue UUID. So lässt sich das Nutzerverhalten aus mehreren Apps nicht zusammenführen – theoretisch zumindest. Denn wie Zscaler erklärt, speichern Entwickler die UUID einfach in der Keychain des Nutzers, und retten sie so über die Installation mehrerer Apps hinweg.

Eine weitere, wichtige Erkenntnis der Zscaler-Untersuchung ist, dass 60 Prozent der Apps aus dem Bereich Spiele und Unterhaltung Zugriff auf die Telefoniefunktionen anfordern, also Informationen zum Mobilfunkprovider, und zu Telefongesprächen, sowie Standortdaten. Diese Tatsache ist nach Ansicht des Unternehmens zwar eher eine Frage der Privatsphäre, sei aber dennoch beunruhigend.

Zscaler empfiehlt Anwendern und Firmen, die die Nutzung von Geräten mit iOS zulassen, schlicht vorsichtig zu sein. Schließlich müssten nicht alle diese Übergriffe auf die Privatsphäre von jedermann in gleicher Weise als bedrohlich empfunden werden. Während Apple selbst mit dem offenbar nicht ausreichend streng gehandhabten Verbot des Zugriffs auf die UDID nicht für die oft suggerierte Sicherheit und Abgeschirmtheit sorgen kann, steht Nutzern eines iOS-Geräts mit Jailbreak beispielsweise die Möglichkeit offen, mit Protect my Privacy zumindest den heimlichen Zugriff aufs Adressbuch festzustellen und gegebenenfalls sofort zu untersagen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de