1300 "Heimlifeiss"-Apps sammeln User-Daten ohne Erlaubnis

Berechtigungen bei Apps sind dazu gedacht, dem User Kontrolle darüber zu geben, welche Apps auf welche Daten eines Smartphones Zugriff erhalten. Will ein User nicht, dass eine Foto-App die Kontaktliste durchforschen darf, kann er den Zugriff verweigern. So zumindest die Theorie. Denn Forschende haben laut 'Cnet' über 1000 Android-Apps gefunden, die Daten von Geräten einsehen und sammeln würden, obwohl ihnen die Erlaubnis verweigert wurde.
 
Von rund 88'000 untersuchten Apps würden 1325 das Berechtigungssystem umgehen, so die Forscher des International Computer Science Institutes (ICSI). Damit könnten die Apps präzise Geolokalisierungsdaten oder Telefonnummern hinter dem Rücken der User erfassen.
 
Serge Egelman, Director Security und Privacy Research des ICSI, habe die Ergebnisse der Studie Ende letzten Monats an einer Konferenz US-amerikanischen Wettbewerbs- und Verbraucherschutzbehörde (FTC) präsentiert. "Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Hinweise, mit denen sie ihre Privatsphäre vernünftig kontrollieren und Entscheidungen darüber treffen können", sagte Egelmann laut 'Cnet' an der PrivacyCon. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."
 
Die Forschenden hätten sowohl Google als auch die FTC über die Ergebnisse informiert. Google wolle das Problem mit dem nächsten Android-Release, das für dieses Jahr erwartet wird, lösen.
 
Metadaten und "Huckepack"
Die 1325 Apps, die gegen die Berechtigungen von Android verstossen, würden in ihrem Code versteckte Workarounds verwenden, die personenbezogene Daten aus Quellen wie Wlan-Verbindungen und Metadaten, die auf Fotos gespeichert waren, übernehmen könnten, fasst 'Cnet' die Ergebnisse zusammen.
 
Ein Beispiel sei die Fotobearbeitungs-App Shutterfly, die GPS-Koordinaten von Fotos gesammelt und diese Daten an ihre eigenen Server gesendet habe. Dies trotz einer fehlenden Berechtigung für den Zugriff auf Standortdaten. Eine Shutterfly-Sprecherin dementierte dies und sagte zum US-Onlinemagazin, dass das Unternehmen nur mit ausdrücklicher Genehmigung Standortdaten sammeln würde.
 
Weitere Apps wiederum würden andere Anwendungen nutzen, denen die Erlaubnis erteilt wurde, um auf personenbezogene Daten wie Telefon- oder IMEI-Nummern zuzugreifen. "Wenn Sie anderen Anwendungen den Zugriff auf personenbezogene Daten gestatten und sie diese in einem Ordner auf der SD-Karte gespeichert haben, können Spionageanwendungen auf diese Informationen zugreifen", so die Forschenden.
 
Nur 13 Apps, der von den Forschenden untersuchten Applikationen, würden diese "Huckepack"-Methode anwenden. Allerdings seien diese über 17 Millionen Mal installiert worden. Potentiell können 153 Apps dieses Verfahren anwenden, heisst es im Bericht weiter, einschliesslich Samsung’s Health und Browser Apps, die auf mehr als 500 Millionen Geräten installiert sind. Samsung habe bislang auf eine Anfrage von 'Cnet' nicht geantwortet.
 
Das ausführliche Paper ist online als PDF verfügbar. Die gesammelte Liste der 1325 Android-Apps wollen die Security-Forscher an einer Konferenz im August publizieren. (kjo)