Wir sind dem Datenklau auf den Grund gegangen und verraten, welche Infos schnüffelnde Apps preisgeben, wer diese erhält und was die Datendiebe damit anfangen können.
von Christoph Supguth, PC-Welt
Von 101 untersuchten Android-Apps übermittelten 56 Apps persönliche Daten. Was stellen Datendiebe aber mit Ihren Informationen an? Wir verraten, welche Gefahren durch die Datenweitergabe drohen und haben die unsichersten Apps aus dem Testlabor der PC-Welt in einer Galerie zusammengefasst.
Bereits über 7,8 Milliarden Android-App-Downloads verzeichnet allein der Android Market. Alle 5 bis 10 Sekunden kommen 1000 Downloads für Android-Smartphones und -Tablets hinzu. Darüber freuen sich nicht nur die Betreiber und Entwickler der Applikationen. Auch die Werbeindustrie und kriminelle Organisationen dürften sich über diese Zahlen freuen.
Gratis-App versus Bezahl-App
Kostenlose Apps finanzieren sich meist über In-App-Werbung, kostenpflichtige Apps verzichten dagegen überwiegend darauf. Das Verhältnis auf dem Android Market von Gratis-Apps zu kostenpflichtigen Android-Tools liegt derzeit bei etwa 2:1.
Android-App-Nutzern sollte klar sein, dass Entwickler Applikationen nicht aus Langeweile entwickeln. Auch sie müssen von etwas leben. Damit Sie Applikationen kostenlos nutzen dürfen, ist die Werbung allerdings das kleinere Übel. Bedenklich sind da eher die Apps, die Ihre Daten an Entwickler oder Werbefirmen ungefragt weitergeben.
Verräterische Apps möchte kein Android-Nutzer haben. Wer sich Applikationen auf sein Smartphone installiert, kann aber damit rechnen, ausspioniert zu werden. Zahlreiche Studien haben das längst belegt. Eine im letzten Jahr vom Wall Street Journal in Auftrag gegebene Studie etwa fand heraus: Von 101 untersuchten Apps (iOS und Android) übermittelten 56 die Geräte-Kennung, 47 die Standortdaten und fünf sogar persönliche Daten, wie Geschlecht und Alter.
Auch die getesteten Apps übermittelten überwiegend die Geräte-Kennung, auf Englisch International Mobile Station Identity, kurz IMEI. Aber auch Standort- und Gerätedaten als auch Netzwerk- und Provider-Informationen fielen auf. Die Applikationen gehen mit Ihren Daten bisweilen recht großzügig um.
Sind bezahlte Apps grundsätzlich sicher? Unter den 47 Apps mit einer Testnote von schlechter als 4,0 in der Kategorie Sicherheit waren 11 Applikationen kostenpflichtig. Die Bezahlung von Applikationen ist also keine 100-prozentige Garantie.
Wer schnüffelt in Ihren Daten
Die Hauptzielgruppe Ihrer Daten sind überwiegend die App-Hersteller selbst. Über Analyseunternehmen, wie etwa Flury, wird das Nutzerverhalten untersucht. Viele dürften das von Software-Installationen auf Desktop-Rechnern kennen. Seriöse Softwareentwickler fragen ihre Nutzer, ob Sie anonymisierte Nutzungsstatistiken dem Entwickler zur Verfügung stellen. Diese Daten dienen meist zur Verbesserung der Software, um etwa eine bessere Benutzeroberfläche, auf Englisch User Interface, kurz UI, zu programmieren und so etwa die Benutzerfreundlichkeit (Usability) zu erhöhen.
Aber auch die Werbeindustrie zeigt ein reges Interesse an persönlichen Informationen. Google sammelt Daten etwa für seinen Dienst AdMob. Der Suchmaschinen-Gigant garantiert so seinen Werbekunden eine zielgruppengerechte Platzierung der Werbeinhalte. Denn das Geschäft mit Ihren Daten ist einträglich. Innerhalb eines Jahres erzielte Google zum 3. Quartal 2011 allein durch das mobile Werbegeschäft 2,5 Milliarden US-Dollar Brutto-Umsatz.
Die unsichersten Apps aus dem Test-Center
Unsere Kollegen von der PC-WELT und mediaTest digital schicken regelmäßig Apps ins Testlabor. Auf die Kategorie Sicherheit legen wir dabei besonders großen Wert.
Welche Daten werden verraten
Liest man die Liste der gesammelten Informationen, treten zunächst wenige Bedenken auf. Daten wie die des genutzten Mobilfunkbetreibers, des genutzten WLANs, Name des Smartphone-Herstellers, Smartphone-Typ oder die Betriebssystemversion klingen harmlos. Ausschlaggebend ist, wer diese Datensätze für welchen Zweck nutzt. Handelt es sich um ein seriöses Werbenetz, wird Sie künftig nur personalisierte Werbung treffen. Wenn sich Gratis-Apps über Werbung finanzieren, warum sollten es nicht wenigstens auf Sie abgestimmte Verbraucherinformationen sein?
Dennoch: Die Summe der gesammelten Daten macht´s. Denn interessant wird es für Datensammler vor allem dann, wenn mehrere Datensätze einem Gerät zugeordnet werden können. Oder noch besser: Die persönlichen Informationen können dem Smartphone-Nutzer oder Tablet-Anwender selbst zugewiesen werden.
So lässt sich aus den gesammelten Daten ein Nutzerprofil erstellen. Fortan halten die Datensammler Ihre Gewohnheiten fest. Über die GPS-Daten erfahren Sie zum Beispiel etwas über Ihre Einkaufsgewohnheiten. Auch das Nutzerverhalten gibt Aufschluss, wo Sie etwa im Internet surfen und welche Inhalte Sie besonders interessieren.
Fazit: Die größte Sicherheit sind Sie selbst
Wie ein solches Profil entstehen könnte, zeigen wir im Folgenden. Die eindeutige Geräte-Kennung, auf Englisch International Mobile Station Identity (IMEI) ist an sich eine gute Sache. Wie die Fahrzeug-Identifizierungsnummer eines Autos wird diese Nummer nur für ein UMTS oder GMS-fähiges Handy vergeben. Mit der IMEI lässt sich also ein bestimmtes Touchscreen-Handy eindeutig identifizieren. Dabei besteht die Handy-Identität aus einer 15-stelligen Seriennummer.
Anders als beim Auto lässt sich mit dieser Nummer das Gerät unter Umständen wieder auffinden. Notieren Sie sich deshalb Ihre IMEI und bewahren Sie diese daheim auf. Wird Ihr Geräte etwa gestohlen, kann die Polizei mit der Geräte-Kennung das Handy orten. Vorausgesetzt die Ortung des Handys dient zur Aufklärung einer schweren Straftat, etwa einem Raubüberfall.
Von der Geräte-Kennung zum vollständigen Nutzerprofil
Auch die Werbeindustrie freut sich über Ihre IMEI. Lässt sich mit ihr doch ein Nutzerprofil anlegen. Zunächst kann mit der Nummer nur das Gerät zugeordnet werden. Legen Sie aber über die App ein Nutzerprofil an, erhält der Datensammler unter Umständen auch Ihre persönlichen Daten. Künftig lässt sich seine Datenbank personifiziert pflegen.
Möglich wird das, wenn Sie sich für einen Dienst registrieren. Möchten Sie mit einer Radio-App etwa eine Liste Ihrer Lieblingssender verwalten, ist ein Nutzerprofil zwangsläufig notwendig. Ob das Login nun verschlüsselt erfolgt und wer Zugriff auf den Datensatz erhält, lässt sich oft nur über einen Sicherheits-Test feststellen.
Login-Daten
Erst kürzlich tauchten auf dem Android Market schädliche Apps auf. Die Apps aktivierten unbemerkt Dienste im Hintergrund. So gelangten Kriminelle an persönliche Daten, wie Kontakte, Telefonnummern und die IMEI-Nummern.
Aber auch der unverschlüsselte Versand von Login-Daten durch Apps könnte Kriminellen Tür und Tor öffnen. Vor allem, wenn Sie über ein öffentliches Netzwerk surfen und Dritte so die Daten abgreifen. Die Radio-App Jango etwa versendet Ihre Login-Daten unverschlüsselt.
Standort (GPS-Koordinaten)
Die Ermittlung der Standort-Daten kann durchaus Sinn machen. Ortsbezogene Dienste, sogenannte Location Based Services, funktionieren natürlich nur, wenn Ihre Standortdaten auch von der App genutzt werden dürfen. Die Wetter-App „Beautiful Widgets“ etwa zeigt die Wettervorhersage Ihres Einzugsgebietes an. Die Datenschutz-Analyse verlief aber zumindest bei dieser App zufriedenstellend. Daten wurden nicht an Dritte weitergegeben.
Stutzig sollten Sie werden, wenn eine App Ihre Standortdaten abruft, obwohl das Tool diese nicht benötigt, um richtig zu funktionieren. In der Test-Galerie finden Sie etwa die App Scannerpro, mit der Sie Barcodes und QR-Codes fotografieren und über das Internet Informationen dazu erhalten. Der GPS-Standort ist für die Funktionalität irrelevant. Verzichten Sie dann lieber auf solche Applikationen. Tipp: Deaktivieren Sie die GPS-Funktion Ihres Smartphones und schalten Sie diese nur ein, wenn Sie einen ortsbezogenen Dienst auch wirklich nutzen.
Fazit: Die größte Sicherheit sind Sie selbst
Wenn es um Sicherheit geht, sind vor allem Sie selbst gefragt. Da eine App immer einen potentiellen Zugriff auf persönliche Daten und Funktionen haben könnte, gibt es nur einen Weg das Risiko so gering wie möglich zu halten. Bevor Sie eine Applikation aus dem Internet herunterladen, informieren Sie sich zuvor über den Herausgeber und beachten Sie die Nutzerkommentare.
Haben Sie sich für eine App entschieden, achten Sie bei der Installation darauf, auf welche Daten die App zugreifen möchte. Fordert die Applikation mehr Rechte ein, als für die Funktionalität benötigt wird, verzichten Sie lieber auf diese Applikation. Zumindest sollten Sie die Rechte des Tools einschränken dürfen.
Dieser Artikel basiert auf einem Beitrag von unserer Schwesterpublikation PC-Welt. (kv)