US-Unternehmen warnt vor unsicheren Smartphone-Apps

iPhone-Apps unsicherer als Android?

13.11.2014 von Jürgen Hill
Bezahlte iOS-Apps sind besonders geschwätzig und verraten vertrauliche Daten. Zu diesem Ergebnis kommt das US-Unternehmen Appthority in seinem aktuellen App Reputation Report.
Sammelwütige Apps. Sowohl unter Android als auch unter iOS gibt es kaum Apps, die keine User-Daten abgreifen.
Foto: Appthority

Wer als Unternehmen Wert darauf legt, dass seine sensiblen Daten, Informationen und Kontakte auch vertraulich bleiben, der sollte um iPhone und Android-Smartphones einen großen Bogen machen. Diesen Schluss legt zumindest der diesjährige App Reputation Report des US-Unternehmens Appthority nahe. Gleichzeitig räumt der Report mit der weitverbreiteten Mär auf, dass Daten in Apples geschlossenem Eco-System sicherer aufgehoben seien als auf der offenen Android-Plattform. Den Amerikanern zufolge weisen 99 Prozent aller kostenlosen Apps - egal ob iOS oder Android - ein unter Sicherheits- und Compliance-Aspekten bedenkliches Verhalten auf und geben sensible Informationen ungefragt weiter. Selbst bei bezahlten Apps sieht die Situation kaum besser aus: Hier melden 78 Prozent der Android-Apps Informationen weiter und gar 87 Prozent der iOS-Apps haben Hunger auf die User-Daten.

Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte.
Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden.
Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist.
Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar.
Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln.
Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert.
Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt.
Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google.
Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.

Kaum Malware, aber schnüffelnde Apps

Für den Report analysierte Appthority nach eigenen Angaben im Sommer jeweils die Top 100 der kostenlosen und bezahlten Apps für Android sowie iOS. Dabei wurden die insgesamt 400 Apps mit Hilfe des Cloud-basierten Appthority App Risk Managment Service - den das Unternehmen auch als Dienstleistung vermarktet - analysiert. Als Sicherheitsrisiken definierte Appthority dabei App-Verhalten wie das Location-Tracking, den Zugriff auf die Adressbücher, den Kalenderzugriff, die eindeutige Identifizierung des Benutzers anhand der IMEI/UDID sowie InApp-Käufe.

Viele Leser werden angesichts dieser genannten Sicherheitsrisiken den Kopf schütteln und die These vertreten, dass die eigentliche Bedrohung für Enterprise Networks und Unternehmensdaten doch eigentlich von Viren und anderer Malware ausgehe. Dem entgegnet man bei Appthority damit, dass man bei Analysen lediglich 0,4 Prozent verseuchte Apps im Enterprise gefunden habe und keine der 400 im Report analysierten Apps versucht gewesen sei.

Mit Big Data zum gläsernen User

Besonders begehrt sind Standortpositionen sowie die eindeutige Benutzerkennung.
Foto: Appthority

Die eigentliche Gefahr für die Unternehmen und ihre Mitarbeiter gehe vielmehr von Apps aus, wobei der User häufig nicht wisse, welche Daten wohin übertragen werden. Und für die blauäugigen Anhänger der "Ich habe ja nichts zu verbergen"-Fraktion hat man bei dem 2011 gegründeten Security-Unternehmen gleich einige drastische Beispiele parat, wie aus scheinbar harmlosen Daten Sicherheitsprobleme entstehen: Was passiert etwa, wenn Einbrecherbanden Location-Tracking-Daten kaufen und so wissen, dass die eigene Wohnung leer steht? Oder wollen Mitarbeiter, dass ihr Arbeitgeber per Location Tracking erfährt, dass sie den Hauptsitz des Konkurrenten besuchten, um sich zu bewerben?

Ebenso entpuppt sich der Zugriff auf das Adressbuch schnell als Risiko, wenn etwa Geschäftskontakte in den Besitz der Konkurrenz gelangen. Zudem werden diese Daten immer mehr zum Versand von Corporate Spam missbraucht, denn durch das Auslesen der Adressbücher gelangen die Ad-Networks in den Besitz kompletter Kontaktdaten inklusive Berufsbezeichnung, Telefonnummer etc. Kombiniert mit den Daten aus dem Kalender, der ungefragt übertragenen IMEI oder UDID lassen sich so schnell komplette Benutzerprofile generieren - Big Data lässt grüßen.

US-Unternehmen warnt vor unsicheren Smartphone-Apps
Foto: Oleksiy Mark, Fotolia.com

So werden Sie ausgespäht

Erschwerend kommt hinzu, dass fast nicht zu kontrollieren ist, wohin die von den Apps gesammelten Daten gehen. Auf der Hand liegen noch Ad-Networks und Daten-Broker. Doch auch die Social Networks sammeln zunehmend mit Hilfe von Apps Daten, wenn etwa mit einem Single SignOn die gelichzeitige Anmeldung im sozialen Netz und bei der App erfolgt. Ein anderer Datenaggregator, so warnt Appthority, sind Analytics Frameworks wie etwa Google Analytics. Diesen werde oft der Zugriff auf die Daten gewährt, wenn App-Entwickler zur Programmierung auf kostenlose SDKs zurückgreifen. Laut der Studie sind etliche populäre SDKs gleichzeitig auch Analytics Frameworks mit eingebauten Routinen zum Sammeln der User-Daten. Eine weitere Datenkrake, die ungefragt Informationen abgreift, können SDKs für Crash Reports sein.

Deren Einsatz nehme zu, da sich die Entwickler in einem zunehmend stärkeren Wettbewerb befänden und dieses Tools nutzten, um Performance und Stabilität ihrer Apps zu monitoren. Letztlich sollten sich App-Entwickler grundsätzlich überlegen, ob sie einfach auf Software-Routinen Dritter zurückgreifen, denn dies erhöhe die Gefahr, dass ihre Apps ein sicherheitskritisches Verhalten an den Tag legen. Ein weiteres Risiko sei, dass viele Apps Daten direkt in Public-Cloud-Speichern ablegen. Ein Unterfangen, das die Bemühen der IT-Abteilungen für einen sicheren Umgang mit Unternehmensdaten - etwa durch Unterbindung des Dropbox-Zugangs - konterkarriere.

Riskante kostenlose Apps

Unter dem Strich, so zumindest das Ergebnis des "Summer 2014 App Reputation Report" ist der Einsatz kostenloser Apps riskanter als der bezahlter Apps. Besonders häufig werden dabei ortsbezogene Daten gesammelt und weitergeleitet. Besonders beunruhigend ist zudem, wie oft die Apps die eindeutige Benutzerkennung der Geräte auslesen und verschicken. Auf der Android-Plattform sind das erschreckende 77 Prozent der untersuchten Apps.

Security Apps für Android
Kryptos
Die Security-App sichert ein Gespräch zwischen zwei Kryptos-Anwendern mit 256 Bit AES.
Kryptos
Auch bei einem Telefonat finden Datendiebe mit dem richtigen Werkzeug eine Möglichkeit, dem Gespräch zu lauschen. Die Lösung ist in diesem Falle eine Verschlüsselung, wie Kryptos sie anbietet.
Lookout
Lookout bietet als Hauptfunktion die Ortung eines verlorenen iPhone, iPad oder iPod an.
Lookout
Die App lohnt sich im Vergleich zu Apples iPhone-Suche vor allem, wenn auch Android-Geräte zum Einsatz kommen.
Avira Mobile Security
Der Antiviren-Hersteller Avira hat für iOS eine kostenlose App veröffentlicht, die für mehr Sicherheit sorgen soll.
Avira Mobile Security
Der Identitätsschutz prüft aber zumindest über Listen anderer Firmen, ob irgendwo ein Datenleck gefunden wurde und die eigene E-Mail-Adresse sowie das Passwort eventuell unsicher sind.
Hotspot Shield VPN
Nicht nur im Urlaub, auch hierzulande nutzen digitale Nomaden jeden Wi-Fi-Hotspot, um das kostbare Datenvolumen zu schonen.
Hotspot Shield VPN
Das Tool hilft dabei, in Hotspots ein VPN zu erstellen.
1Password
Mit 1Password sind die wichtigsten Daten und Nummern nur einen Wisch weit weg.
1Password
Dabei ist die Sortierung nicht nur nach Favoriten und in Ordner möglich, sondern auch in voneinander getrennten Schließfächern.
Norton Snap
Norton Snap soll vor gefakten QR-Code-Adressen schützen.
Norton Snap
Norton prüft vor Laden der Seite, ob diese eventuell schädlich ist.
Philips InRange
InRange soll unterwegs vor dem Verlust von Geldbeutel, Schlüssel oder anderen Dingen schützen.
Philips InRange
Die App weist mit einem Signalton darauf hin, wenn sich die Gegenständ zu weit vom iPhone entfernen.
Wickr
Ähnlich wie in Spionage-Filmen funktioniert Wickr, das eine verschickte Nachricht nach Ablauf des Countdowns löscht.
Wickr
Die App verschlüsselt Nachrichten zwischen zwei Wickr-Nutzern mit AES256.
MyPermissions
Neue Apps und Dienste beantragen regelmäßig unsere Zustimmung, um sich mit sozialen Netzen zu verbinden
MyPermissions
Die App gibt in einer Übersicht Aufschluss darüber gibt, ob und welche Dienste auf die Konten zugreifen.
Kaspersky Safe Browser
Der Kaspersky Browser blockiert die Links zu Phishing-Seiten.

Zur Beruhigung taugt das Ergebnis für iOS auch nicht. Dort versuchten 43 Prozent der Apps die eindeutige und einmalige Kennung auszulesen. Und dies, obwohl Apple seit iOS 6 Entwicklern den Zugriff auf die UDID untersagt. Ein Umstand, der Fragen an dem Qualitätssicherungsprozess aufkommen lässt, den ja jede App durchlaufen muss, bevor sie bei Apple im Store landet.