Studie: Android-Apps geben unerlaubt E-Mail-Adressen weiter – iOS-Apps Standortdaten

Forscher des Massachusetts Institute of Technology, der Carnegie Mellon University und der Harvard University haben untersucht, welche Daten beliebte kostenlose Android- und iOS-Apps an Dritte weitergeben. 73 Prozent der getesteten Android-Apps übermitteln demnach persönliche Informationen wie E-Mail-Adressen. 47 Prozent der iOS-Anwendungen geben Koordinaten und andere Standortdaten preis. „Eine App, die diese Daten sammelt, muss den Nutzern in den aktuellen Berechtigungseinstellungen nicht darüber informieren“, heißt es in der Studie.

Insgesamt haben die Forscher 110 Apps analysiert, darunter Adobe Reader für iOS, Box für Android, Ebay für iOS und Android, Facebook für iOS und Android, Facebook Messenger für iOS und Android, Google Earth für Android, Google Maps für iOS, Skype für Android und iOS und Youtube für iOS. Eine durchschnittliche Android-App verbindet sich demnach mit 3,1 Dritt-Domains, iOS-Anwendungen mit 2,6 Dritt-Domains.

Dritt-Domains, mit denen die Apps bevorzugt kommunizieren, sind Google.com (36 Prozent), Googleapis.com (18 Prozent), Apple.com (17 Prozent) und Facebook.com (14 Prozent). Darüber hinaus haben die Forscher festgestellt, dass sich 93 Prozent der getesteten Android-Programme mit der anonym registrierten Domain „safemovedm.com“ verbinden. Dafür machen sie einen Hintergrundprozess von Googles Mobilbetriebssystem verantwortlich.

Auffällig ist, dass die Mobilplattformen offenbar „Vorlieben“ für bestimmte Daten haben. Während 73 Prozent der untersuchten Android-Apps persönliche Daten weitergeben, liegt deren Anteil unter iOS bei lediglich 16 Prozent. Dafür übermitteln nur 33 Prozent der Android-Anwendungen Standortdaten an Dritte, im Gegensatz zu 47 Prozent der iOS-Apps. Unabhängig vom Betriebssystem sammeln 3 Prozent von 30 Apps aus der Kategorie Gesundheit und Fitness Nutzereingaben und Suchbegriffe zu medizinischen Themen und leiten sie an Dritte weiter.

Für ihre Analyse haben die Forscher jeglichen HTTP- und HTTPS-Traffic der Apps abgefangen und darin nach persönlichen Informationen gesucht. Dabei simulierten sie über einen Zeitraum von 10 bis 20 Minuten eine typische Nutzung der Apps, richteten Nutzerkonten mit Passwörtern ein und griffen auf Grundfunktionen der Apps zu. Jeweils 55 Apps kamen aus Apples App Store und Googles Play Store. Die Tests fanden wiederum in zwei Wellen statt, vom 24. bis 26. Juni 2014 sowie vom 15. bis 22. Juli 2014.

Anzumerken ist, dass die Tests der Forscher offenbar auf iOS 7 und Android 4.4 basieren. Apple und Google haben ihre Mobilbetriebssysteme seitdem zweimal aktualisiert (iOS 8 und 9 beziehungsweise Android 5 und 6 und dabei auch die Berechtigungen überarbeitet. Der Studie zufolge gaben aber zumindest Mitte 2014 die getesteten Apps bestimmte persönliche Daten an Dritte weiter, ohne in den Berechtigungen darauf hinzuweisen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de