iOS-Apps: 38 Prozent fordern immer noch Zugriff auf den UDID Identifier

MobileMobile AppsMobile OSPolitikSicherheitSmartphoneTabletÜberwachung
Smartphone-Apps (Bild: Shutterstock/Oleksiy-Mark)

Das hat das Sicherheitsunternehmen Zscaler bei einer Untersuchung der 550 gängigsten Anwendungen herausgefunden. UDIDs sind wie Seriennummern mit iOS-Geräten verbunden und erlauben die Zuordnung persönlicher Daten. 60 Prozent der Apps für Spiele und Unterhaltung wollen zudem auf Telefoniefunktionen und Standortdaten zugreifen.

Zscaler hat der Berechtigungen der 550 am häufigsten verwendeten Apps für iOS herausgefunden, dass 38 Prozent davon immer noch Zugriff auf den inzwischen berüchtigten UDID Identifier haben – obwohl Apple seit Mai 2013 Anwendungen ablehnt, die auf Gerätedaten zugreifen wollen. Außerdem versprach Apple bereits mit iOS 6 neue APIs einzuführen, die die UDIDs ersetzen.

Apps-Smartphone-Shutterstock-oleksiy-mark

UDIDs sind wie Seriennummern mit iOS-Geräten verbunden und erlauben die Zuordnung persönlicher Daten. Die eindeutigen Gerätekennungen werden seit Jahren von Werbenetzwerke genutzt, um Werbung zielgerichtet zu verteilen. Da App-Entwickler die Kennungen häufig mit Namen der Nutzer, Passwörtern, Handynummern und weiteren Daten verbanden, entstanden zahlreiche, oft unzureichend gesicherte und in jedem Fall wenig kontrollierte Datenbanken, mit umfangreichen persönliche Informationen über die Gerätenutzer.

Zscaler weist ausdrücklich darauf hin, dass man im Gegensatz zu anderen, vergleichbaren Untersuchungen sich nicht darauf beschränkt habe zu prüfen, ob eine App grundsätzlich bestimmte Funktionen ausführen könnte, sondern ob sie das auch tatsächlich tut. Dazu war allerdings ein Jailbreak der zu dem Tst erangezogenen iPhones erforderlich – ansonsten hätten die Experten nicht den erforderlichen Einblick bekommen.

Dass 38 Prozent der populärsten Apps immer noch Zugriff auf den UDID Identifier fordern, ist aus Sicht von Zscaler deshalb besorgniserregend, weil die App-Entwickler dadurch das Nutzerverhalten über mehrere Apps hinweg analysieren und so einzelne Nutzer zweifelsfrei identifizieren könnten. Außerdem könnten die UDIDs mit Mobilfunknummer, Namen und Passwörtern Standortdaten und anderen Informationen verknüpft werden.

Apples neuer Ansatz, der UUID (Universally Unique Identifier) ist zwar theoretisch sicherer, lässt sich aber auch austricksen. Der UUID ist pro App und Gerät einmalig. Wird die App auf dem Gerät gelöscht und später neu installiert, entsteht auch ein neuer UUID. So lässt sich das Nutzerverhalten aus mehreren Apps nicht zusammenführen – theoretisch zumindest. Denn wie Zscaler erklärt, speichern Entwickler die UUID einfach im Keychain des Nutzers, und retten ihn so über die Installation mehrerer Apps hinweg.

Eine weitere, wichtige Erkenntnis der Zscaler-Untersuchung ist, dass 60 Prozent der Apps aus dem Bereich Spiele und Unterhaltung Zugriff auf die Telefoniefunktionen anfordern, also Informationen zum Mobilfunkprovider, und zu Telefongesprächen, sowie Standortdaten. Diese Tatsache ist nach Ansicht des Unternehmens zwar eher eine Frage der Privatsphäre, sei aber nichtsdestotrotz beunruhigend.

Zscaler empfiehlt Nutzern und Firmen, die die Nutzung von Geräten mit iOS zulassen, schlicht vorsichtig zu sein. Schließlich müssten nicht alle diese Übergriffe auf die Privatsphäre von jedermann in gleicher Wise als bedrohlich empfunden werden. Während Apple selbst mit dem offenbar nicht ausreichend streng gehandhabten Verbot des Zugriffs auf den UDID nicht für die oft suggerierte Sicherheit und Abgeschirmtheit sorgen kann, steht Nutzern eines iOS-Geräts mit Jailbreak zum Beispiel die Möglichkeit offen, mit Protect my Privacy zumindest den heimlichen Zugriff aufs Adressbuch festzustellen und gegebenenfalls sofort zu untersagen.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen