App-Entwickler umgehen geschickt Einschränkungen durch Berechtigungen
Die angeforderten Berechtigungen von 110 weitverbreiteten Apps geben oft nicht darüber Auskunft, ob persönliche Daten weitergegeben werden. Android-Apps verbinden sich im Durchschnitt mit 3,1 anonymen Domains Dritter, iOS-Anwendungen mit 2,6 Domains.
Wissenschaftler des Massachusetts Institute of Technology, der Carnegie Mellon University und der Harvard University haben bei 110 weitverbreiteten Apps für Android und iOS untersucht, welche Daten durch diese an Dritte weitergeben werden. Der jetzt vorgelegten Studie zufolge übermitteln 73 Prozent der getesteten Android-Apps persönliche Informationen wie E-Mail-Adressen. Von den iOS-Anwendungen geben 47 Prozent Koordinaten und andere Standortdaten preis – und das in der Regel, ohne das Einverständnis des Nutzers einzuholen. “Eine App, die diese Daten sammelt, muss den Nutzern in den aktuellen Berechtigungseinstellungen nicht darüber informieren”, erklären die Autoren der Studie.
Insgesamt haben die Forscher 110 Apps untersucht. Auf der Liste stehen beispielswiese Adobe Reader für iOS, Box für Android, Ebay für iOS und Android, Facebook für iOS und Android, Facebook Messenger für iOS und Android, Google Earth für Android, Google Maps für iOS, Skype für Android und iOS sowie Youtube für iOS. Den Ergebnissen der Studie zufolge verbindet sich eine Android-App durchschnittlich mit 3,1 Dritt-Domains, bei iOS-Anwendungen sind es im Durchschnitt immerhin noch 2,6 Dritt-Domains.
Die häufigsten dieser Dritt-Domains, mit denen die Apps kommunizieren, sind Google.com (36 Prozent), Googleapis.com (18 Prozent), Apple.com (17 Prozent) und Facebook.com (14 Prozent). Die Forscher haben darüber hinaus festgestellt, dass sich 93 Prozent der untersuchten Android-Programme mit der anonym registrierten Domain “safemovedm.com” verbinden. Grund dafür sei ein nicht näher erläuterter Hintergrundprozess von Googles Mobilbetriebssystem.
Je nach Plattform greifen die Entwickler unterschiedliche Daten ab. Während 73 Prozent der untersuchten Android-Apps persönliche Daten weitergeben, liegt der Anteil dieser Missbrauchsvariante bei iOS-Apps bei lediglich bei 16 Prozent. Dafür übermitteln 47 Prozent der iOS-Apps Standortdaten an Dritte, bei Android-Apps sind es “nur” 33 Prozent. Eine der 30 in die Kategorie Gesundheit und Fitness gehörenden Apps leitete zudem Nutzereingaben und Suchbegriffe zu medizinischen Themen an Dritte weiter.
Im Rahmen ihrer Analyse haben die Forscher jeweils den HTTP- und HTTPS-Traffic der Apps abgefangen und darin nach persönlichen Informationen gesucht. Sie simulierten dazu über einen Zeitraum von 10 bis 20 Minuten eine typische Nutzung der App, richteten Nutzerkonten mit Passwörtern ein und griffen auf Grundfunktionen der Apps zu. Jeweils 55 der untersuchten Apps stammen aus Apples App Store und 55 aus Googles Play Store.
Anzumerken ist, dass die Tests der Forscher offenbar auf Geräten mit iOS 7 und Android 4.4 durchgeführt wurden. Apple und Google haben ihre Mobilbetriebssysteme seitdem zweimal aktualisiert (iOS 8 und 9 beziehungsweise Android 5 und 6 und dabei auch die Berechtigungen überarbeitet. So müssen Nutzer etwa seit Android 6.0 Anwendungen bei der Installation nicht mehr alle angeforderten Berechtigungen erteilen. Apps fragen stattdessen den Zugriff auf bestimmte Ressourcen – etwa Kontakte und Fotos sowie Hardwarekomponenten wie Kamera und Mikrofon – erst dann an, wenn sie ihn tatsächlich benötigen. Der Studie zufolge gaben aber zumindest Mitte 2014 die getesteten Apps bestimmte persönliche Daten an Dritte weiter, ohne in den Berechtigungen darauf hinzuweisen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de