Android-Spiel sammelt GPS-Daten

MobileMobile AppsMobile OSSicherheitSicherheitsmanagement

Sicherheitsexperten haben im Android Market ein Spiel namens Snake Tap ausgemacht, das die GPS-Koordinaten des Anwenders heimlich an andere Nutzer schickt, die eine Spionage-App auf ihrem Smartphone installiert haben.

Zwar braucht ein Spion Zugriff auf das Smartphone seines Opfers, um bei der Installation von Snake Tap eine Mail-Adresse und einen Key einzugeben, die auf dem Überwachungsgerät benötigt werden, um die gesammelten Daten abzurufen. Nach Meinung der Sicherheitsexperten von Symantec ist das aber mit ein wenig Social Engineering (»Hey, lass mich dir ein cooles Spiel zeigen.«) zu schaffen.

Snake Tap ist kostenlos und überträgt, ob das Spiel nun läuft oder nicht, die GPS-Daten alle 15 Minuten an einen Server, von dem sie sich mit der kostenpflichtigen App GPS Spy abrufen und in den Google Maps anzeigen lassen. Ähnliches würden zwar auch andere Anwendungen tun, jedoch ganz offiziell als Spionage-App und ohne vorzugeben, etwas anderes zu sein, heißt es bei Symantec. Snake Tap stuft man daher als Trojaner ein und hat ihm den Namen AndroidOS.Tapsnake gegeben.

Zwar zeigt auf dem Smartphone das Satelliten-Icon an, dass GPS-Koordinaten erfasst werden, doch stutzig machen muss das den User nicht zwangsläufig. Schließlich greifen viele Apps auf Daten zu, die sie nicht benötigen, wie die Sicherheitsexperten von Lookout mit ihrem App Genome Project kürzlich gezeigt haben. Oft wissen nicht einmal die Entwickler, was ihre Apps anstellen, da SDKs und Code-Schnipsel von Dritten verwendet werden.