1300 "Heimlifeiss"-Apps sammeln User-Daten ohne Erlaubnis

9. Juli 2019, 13:35
  • technologien
  • android
image

Berechtigungen bei Apps sind dazu gedacht, dem User Kontrolle darüber zu geben, welche Apps auf welche Daten eines Smartphones Zugriff erhalten.

Berechtigungen bei Apps sind dazu gedacht, dem User Kontrolle darüber zu geben, welche Apps auf welche Daten eines Smartphones Zugriff erhalten. Will ein User nicht, dass eine Foto-App die Kontaktliste durchforschen darf, kann er den Zugriff verweigern. So zumindest die Theorie. Denn Forschende haben laut 'Cnet' über 1000 Android-Apps gefunden, die Daten von Geräten einsehen und sammeln würden, obwohl ihnen die Erlaubnis verweigert wurde.
Von rund 88'000 untersuchten Apps würden 1325 das Berechtigungssystem umgehen, so die Forscher des International Computer Science Institutes (ICSI). Damit könnten die Apps präzise Geolokalisierungsdaten oder Telefonnummern hinter dem Rücken der User erfassen.
Serge Egelman, Director Security und Privacy Research des ICSI, habe die Ergebnisse der Studie Ende letzten Monats an einer Konferenz US-amerikanischen Wettbewerbs- und Verbraucherschutzbehörde (FTC) präsentiert. "Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Hinweise, mit denen sie ihre Privatsphäre vernünftig kontrollieren und Entscheidungen darüber treffen können", sagte Egelmann laut 'Cnet' an der PrivacyCon. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."
Die Forschenden hätten sowohl Google als auch die FTC über die Ergebnisse informiert. Google wolle das Problem mit dem nächsten Android-Release, das für dieses Jahr erwartet wird, lösen.
Metadaten und "Huckepack"
Die 1325 Apps, die gegen die Berechtigungen von Android verstossen, würden in ihrem Code versteckte Workarounds verwenden, die personenbezogene Daten aus Quellen wie Wlan-Verbindungen und Metadaten, die auf Fotos gespeichert waren, übernehmen könnten, fasst 'Cnet' die Ergebnisse zusammen.
Ein Beispiel sei die Fotobearbeitungs-App Shutterfly, die GPS-Koordinaten von Fotos gesammelt und diese Daten an ihre eigenen Server gesendet habe. Dies trotz einer fehlenden Berechtigung für den Zugriff auf Standortdaten. Eine Shutterfly-Sprecherin dementierte dies und sagte zum US-Onlinemagazin, dass das Unternehmen nur mit ausdrücklicher Genehmigung Standortdaten sammeln würde.
Weitere Apps wiederum würden andere Anwendungen nutzen, denen die Erlaubnis erteilt wurde, um auf personenbezogene Daten wie Telefon- oder IMEI-Nummern zuzugreifen. "Wenn Sie anderen Anwendungen den Zugriff auf personenbezogene Daten gestatten und sie diese in einem Ordner auf der SD-Karte gespeichert haben, können Spionageanwendungen auf diese Informationen zugreifen", so die Forschenden.
Nur 13 Apps, der von den Forschenden untersuchten Applikationen, würden diese "Huckepack"-Methode anwenden. Allerdings seien diese über 17 Millionen Mal installiert worden. Potentiell können 153 Apps dieses Verfahren anwenden, heisst es im Bericht weiter, einschliesslich Samsung’s Health und Browser Apps, die auf mehr als 500 Millionen Geräten installiert sind. Samsung habe bislang auf eine Anfrage von 'Cnet' nicht geantwortet.
Das ausführliche Paper ist online als PDF verfügbar. Die gesammelte Liste der 1325 Android-Apps wollen die Security-Forscher an einer Konferenz im August publizieren. (kjo)

Loading

Mehr zum Thema

image

Mit 5G in Flugzeugen soll das Ende des Flugmodus kommen

Die EU-Kommission plant, 5G für Airlines zu erlauben. Damit könnten Passagiere ihre Smartphones in der Kabine normal nutzen.

publiziert am 28.11.2022 2
image

Staatsarchive in Basel-Stadt und St. Gallen eröffnen "Digitale Lesesäle"

Eine neue Webplattform soll den Zugang zum umfangreichen Archivmaterial vereinfachen. Hunderttausende Datensätze sind bereits erschlossen.

publiziert am 25.11.2022
image

Accenture: "Sovereign Cloud ist ein heisses Thema"

Oracle hat eine souveräne Cloud-Region für EU-Kunden und eine Art private Public Cloud angekündigt. Wir haben mit Oracle-Partner Accenture über den hiesigen Markt gesprochen.

publiziert am 25.11.2022
image

SIX lagert das Management seiner Mainframes aus

Der Schweizer Börsenbetreiber hat einen Vertrag über 10 Millionen Franken mit Atos unterzeichnet. Mehrere SIX-Mitarbeitende wechseln zum Techkonzern.

publiziert am 22.11.2022