Privatsphäre-Untersuchung: Mehr als 1300 Android-Apps sammeln heimlich private Daten – sogar dann, wenn man es verbietet

Hunderte Bilder, alle Kontakte, der Zugriff aufs Konto: Auf unseren Smartphones verwalten wir beinahe unser gesamtes Leben. Es ist randvoll mit privaten Daten. Deshalb sollten wir besonders darauf sensibilisiert sein, welchen Apps wir Zugriff auf diese Informationen gewähren – und welchen nicht. Doch nun zeigten Forscher im Rahmen der PrivacyCon 2019, dass die App-Hersteller immer wieder Wege gefunden haben, die eingebauten Sicherheitsmaßnahmen von Android-Smartphones auszuhebeln. Einige Anwendungen konnten sogar dann Daten sammeln, wenn wir ihnen genau das verboten haben.

Die Tricks der Werbe-Industrie

Forscher des International Computer Science Institute (ICSI) untersuchten insgesamt 88.113 Android-Apps aus dem Google-eigenen Play Store, ob und wie die Apps bei untersagten Berechtigungen Daten übertragen. Das Ergebnis ist schockierend: Mehr als 1000 Apps sammelten personenbezogene Daten, obwohl dies eigentlich untersagt war. Dazu nutzten die Hersteller einige Tricks: Einige Anwendungen verschafften sich über Umwege unerlaubt die MAC-Adresse des Smartphones oder Routers, wodurch sich die Geräte eindeutig identifizieren lassen. So kann die Werbeindustrie sämtliche Tätigkeiten des Nutzers über mehrere Geräte hinweg verfolgen.

Ebenfalls heikel: 70 der untersuchten Apps erfassen die Bewegungen der Nutzer, obwohl sie keinen Zugriff auf die Standortberechtigungen haben. Dafür nutzen sie die auf den Gerät gespeicherten Fotos und werten die darin versteckten EXIF-Daten aus, mit denen sich unter anderem der genaue Ort nachvollziehen lässt, an dem das Bild aufgenommen wurde. Diese Daten werden dann an die eigenen Server übertragen. Was dort mit den Daten passiert, lässt sich nicht nachvollziehen.

Umstrittene App-Schwergewichte

Es handelt sich bei den Apps um keine Nischen-Anwendungen. Einige verzeichnen mehr als fünf Millionen Downloads, etwa die Fotobearbeitungs-App Shutterfly. Eine Sprecherin des Unternehmens erklärte, man würde Daten nur mit Zustimmung des Nutzers sammeln, auch wenn die Ergebnisse der Forscher das Gegenteil zeigen.

Die Anbieter von kostenlosen Anwendungen wollen möglichst viele Daten horten, um mehr Geld verdienen zu können. Denn häufig sind Werbeanzeigen die primäre Einnahmequelle, diese können mit personenbezogenen Daten wie dem Standort individuell auf den Nutzer angepasst werden.

Den Forschern zufolge sind einige Android-Apps in der Lage, untereinander sensible Daten zu tauschen, obwohl dies für die Nutzer auf den ersten Blick nicht ersichtlich ist – etwa die Disneyland-Park-App aus Hong Kong und Samsungs Health-App, die auf mehr als 500 Millionen Geräten installiert ist. Beide Apps basieren auf dem gleichen Entwicklerbaukasten des chinesischen Anbieters Baidu. Dadurch ist es theoretisch möglich, dass man einer seriösen App den Zugriff auf private Daten erlaubt, dadurch aber auch andere Zugriff erhalten.

Eine vollständige Liste der mehr als 1.300 Apps wollen die Forscher im August auf der Usenix Security Conference veröffentlichen.

Lösung erst ab Herbst in Sicht

Die Ergebnisse der Forscher demonstrieren, dass das Android-Berechtigungssystem in seiner jetzigen Form weitgehend nutzlos ist. Google wurde den Forschern zufolge bereits im September 2018 auf die Schwachstellen aufmerksam gemacht. Der Konzern habe damals angegeben, die Lücken mit der nächsten Betriebssystem-Version Android Q schließen zu wollen. Dieses befindet sich derzeit in einer Testphase und wird voraussichtlich im Herbst zum Download bereitgestellt.

Bis das beim Großteil der Nutzer ankommt, dürften noch viele Jahre vergehen. Das bald ein Jahr alte Android 9 Pie ist derzeit auf gerade einmal 18,61 Prozent der Geräte installiert. Das Vorgänger-System Oreo läuft auf 18,06 Prozent der Smartphones und Tablets. Damit nutzt nur rund ein Drittel der weltweiten Android-Nutzer eine Version der letzten anderthalb Jahre.

Zum Vergleich: Die drittpopulärste Android-Version ist 6.0 Marshmallow. Die Version wurde im Oktober 2015 vorgestellt und ist damit hoffnungslos veraltet.

Lesen Sie mehr zum Thema Privatsphäre:

Netzaktivistin Katharina Nocun: “Anhand einiger Daten lässt sich sogar erkennen, ob und mit wem man eine Affäre hat”

Experte über Privatsphäre: “Ich frage mich ständig, warum die Leute das alles noch mitmachen”

Apples Software-Chef Craig Federighi im Interview: “Wir haben keinerlei Interesse daran, alles über Sie herauszufinden”

Hamburgischer Datenschutz-Beauftragter Johannes Caspar: “Facebook steht das Wasser offenbar bis zum Hals”

Quellen: Die Studie zum Nachlesen, Cnet, Statcounter

Ähnliche Beiträge: