Android: Über 1000 Apps umgehen Berechtigungen und sammeln Nutzerdaten

Mit Berechtigungen für Android-Apps legt der Nutzer fest, auf welche Daten eine App Zugriff hat und auf welche nicht. Wenn mann nicht möchte, dass eine Taschenlampen-App Zugrff auf Anrufprotokolle hat, verweigert man einfach den Zugriff auf diese Daten. So viel zur Theorie. Nun haben Sichherheitsforscher laut CNET jedoch festgestellt, dass über 1000 Apps das Android-Berechtigungssystem umgehen und Daten wie Standortinformationen sammeln können, obwohl der Nutzer das untersagt hat.

Obwohl Nutzer den Zugriff auf Daten einschränken, können zahlreiche Apps diese umgehen (Bild: ZDNet.de).

Forscher des International Computer Science Institute fanden 1325 Android-Apps, die Daten von Geräten sammelten, auch nachdem ihnen die Erlaubnis ausdrücklich verweigert wurde. Serge Egelman, Direktor der Usable Security & Privacy Group am International Computer Science Institute (ICSI), stellte die Studie Ende Juni auf der PrivacyCon der Federal Trade Commission vor (PDF).

„Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge, mit denen sie ihre Privatsphäre vernünftig kontrollieren können“, sagte Egelman auf der Konferenz. „Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten.“

Egelman sagte, dass sie Google im vergangenen September über diese Probleme informiert haben, ebenso wie die FTC. Google sagte, dass es die Probleme in Android Q lösen würde, das in diesem Jahr veröffentlicht werden soll. Android Q behebt das Problem, indem es zum Beispiel Standortinformationen in Fotos vor Apps versteckt und verlangt, dass alle Apps, die auf Wi-Fi zugreifen, auch die Erlaubnis für Standortdaten haben.

Die Forscher testeten mehr als 88.000 Apps aus dem Google Play Store und untersuchten, wie Daten aus den Apps übertragen wurden, wenn ihnen die Berechtigungen verweigert wurden. Die 1325 Apps, die gegen die Berechtigungen von Android verstoßen haben, verwenden in ihrem Code versteckte Workarounds, sodass sie personenbezogene Daten aus Quellen wie Wi-Fi-Verbindungen und Metadaten, die auf Fotos gespeichert waren, übernehmen können.

Die Forscher fanden beispielsweise heraus, dass die Fotobearbeitungs-App Shutterfly GPS-Koordinaten von Fotos auswertet und diese Daten auf ihren eigenen Server speichert, selbst wenn Benutzer der App die Erlaubnis zum Zugriff auf Standortdaten verweigert hatten. Im Gegensatz dazu sagte eine Sprecherin von Shutterfly, dass das Unternehmen nur mit ausdrücklicher Genehmigung Standortdaten sammeln würde.

„Wie viele Fotodienste verwendet Shutterfly diese Daten, um das Benutzererlebnis mit Funktionen wie Kategorisierung und personalisierten Produktvorschlägen zu verbessern, und zwar in Übereinstimmung mit der Datenschutzerklärung von Shutterfly sowie der Android-Entwicklervereinbarung“, teilte das Unternehmen CNET in einer Erklärung mit.

Einige Anwendungen nutzen andere Anwendungen, denen die Erlaubnis erteilt wurde, um auf personenbezogene Daten wie Telefonnummern oder IMEI-Nummern zuzugreifen. Diese Apps würden ungeschützte Dateien auf der SD-Karte eines Geräts durchlesen und die Daten sammeln, auf die sie keine Zugriffsberechtigung haben. Wenn Nutzer also Anwendungen die Berechtigung für den Zugriff auf personenbezogene Daten gestatten und diese Daten in einem Ordner auf der SD-Karte gespeichert werden, können die fraglichen Apps auf diese Informationen zugreifen.

Insgesamt fanden die Forscher allerdings nur 13 Apps, die diese Spionagetechnik anwendeten. Immerhin sind sie nach Angabe der Forscher mehr als 17 Millionen Mal installiert. Dazu gehören Apps wie Baidus Hong Kong Disneyland Park App, sagten Forscher. Potentiell können 153 Apps dieses Verfahren anwenden, einschließlich Samsung’s Health und Browser Apps, die auf mehr als 500 Millionen Geräten installiert sind. Samsung hat auf eine Anfrage von CNET bislang nicht geantwortet.

Eine detaillierte Liste der 1.325 Apps wollen die Forscher im August auf der Usenix Security Konferenz veröffentlichen.

Android-Berechtigungssystem ist nutzlos

Die Ergebnisse der Forscher zeigen, dass das Android-Berechtigungssystem in weiten Teilen nutzlos ist. Man darf gespannt auf die Veröffentlichung im August sein, wenn die Forscher detailliertere Informationen über diese Spionage-Apps veröffentlichen.

Dass mit Android Q das Problem gelöst wird, indem man Apps automatisch den Zugriff auf Standortdaten gewährt, wenn sie über eine Berechtigung für WLAN-Verbindungen verfügen, behebt das grundsätzliche Problem der Datensammlung nicht. Immerhin wird es transparenter.

Blokada

Wer seine Privatsphäre unter Android besser schützen möchte, sollte sich die App Blokada ansehen. Sie unterbindet grundsätzlich zahlreiche Verbindungen, die Apps von sich aus zu den Servern der Hersteller aufnehmen. Man wird überrascht sein, wie viele Verbindungen Blokada bereits nach kurzer Zeit blockiert hat.

Blokada schützt Android-Anwender vor Tracking (Screenshot: ZDNet.de)