Darf diese App auf Ihren Standort zugreifen? Auf die Kamera? Die Kontakte? Wer Android-Apps installiert, gibt damit oft seine Einwilligung, dass der Dienst an sensible Daten kommt. Verwehrt man die Erlaubnis, sollte hingegen gesichert sein, dass die Privatsphäre geschützt ist – doch offenbar ist das nicht immer der Fall.
Wissenschaftler des International Computer Science Institute (ICSI) haben mehr als 88.000 Apps aus dem Google Play Store geprüft und dabei erhebliche Sicherheitsmängel festgestellt. Rund 1.325 Anwendungen übertrugen demnach personenbezogene Daten von den Geräten, obwohl die Nutzer dies abgelehnt hatten.
Verschiedene Methoden, um Beschränkungen auszuhebeln
Die Forscher stellten ihre Ergebnisse Ende Juni im Rahmen der PrivacyCon 2019 vor. "Im Grunde haben die Verbraucher sehr wenige Hinweise und Werkzeuge, um ihre Privatsphäre angemessen zu kontrollieren und Entscheidungen darüber zu treffen", sagte Serge Egelman vom ICSI auf der Konferenz. "Wenn App-Entwickler einfach das System überlisten können, ist es relativ bedeutungslos, Nutzer nach ihrer Zustimmung zu fragen."
Die Hersteller nutzten verschiedene Methoden, um die Beschränkungen auszuhebeln. Wenn die Standortbestimmung ausdrücklich untersagt war, kamen einige Apps über die gespeicherten Fotos an diese begehrte Information: Anhand von Metadaten lässt sich exakt bestimmen, wo ein Bild aufgenommen wurde – und somit auch die Bewegung des Nutzers nachvollziehen. Mit diesem Kniff arbeitet laut den Forschern etwa die Foto-Bearbeitungs-App Shutterfly. Dem Tech-Portal "Cnet" zufolge bestreitet das Unternehmen aber die Vorwürfe.
Wertvolle Informationen für gezielte Werbung
Manche Apps gelangten wiederum an die MAC-Adresse des Smartphones oder Routers, und konnten so die Aktivitäten der Nutzer auf mehreren Geräten verfolgen. All diese Informationen sind wertvoll, wenn es darum geht, Werbung gezielt auf die Nutzer zuzuschneiden.
Besonders brisant: Einige Apps sind offenbar dazu fähig, Daten untereinander auszutauschen. Das bedeutet: Gewährt man einer Anwendung, der man vertraut, bestimmte Berechtigungen, könnte dadurch völlig unbemerkt auch eine andere App an die privaten Daten gelangen. Ein Beispiel dafür sei Samsungs Health-App, die auf mehr als 500 Millionen Geräten installiert ist. Laut "Cnet" hat sich Samsung noch nicht dazu geäußert.
Eine Liste aller betroffenen Apps soll im August vorgestellt werden
Sicher ist also schon jetzt, dass es sich nicht nur um unbekannte Anwendungen handelt, sondern auch um solche, die sehr viele Menschen verwenden. Egelmann kündigte an, weitere Details und eine vollständige Liste der über 1.000 betroffenen Apps auf einer Sicherheitskonferenz im August bekannt zu geben.
Momentan haben die Nutzer dank des bestehenden Berechtigungssystems kaum Möglichkeiten, sich effektiv zu schützen. Wie "Cnet" berichtet, möchte Google die Sicherheitslücken erst mit dem nächsten Betriebssystem, Android Q, schließen, das im Laufe des Jahres verfügbar sein wird. Aktuell nutzen jedoch viele Menschen noch veraltete Android-Versionen wie das im Herbst 2015 vorgestellte Android 6.0 Marshmallow. Bis sich Android Q flächendeckend durchgesetzt hat, dürfte es daher noch einige Zeit dauern.
Weiterlesen auf oekotest.de:
