01.10.10

TaintDroid: Android-Apps verschicken heimlich private Informationen

3DCarrom - sehr schönes Pool-Spiel für Android mit Netzgegner-Funktion

Amerikanische Wissenschafter haben herausgefunden, dass viele Android-Apps ohne Wissen des Nutzers sensible Daten an Werbetreibende verschicken. Das wirft Fragen auf.

Android beherrscht echtes Multitasking: Smartphones mit dem Betriebssystem können zahlreiche Anwendungen gleichzeitig laufen lassen. Und während ich die Offenheit des Systems von Google schätze, zeigt sich doch auch immer wieder, dass es Gefahren birgt.

Jetzt haben die Penn State University, Duke University und Intel Labs mit dem Programm TaintDroid herausgefunden, dass viele Apps auf Android Daten an Werbeserver verschicken:

Die Anwendung der drei Institute fängt sämtlichen Datenverkehr ab und wertet ihn aus. Das Resultat eines Tests mit dreissig der populärsten und einigen zufällig ausgewählten Apps zeigte, dass etliche Anwendungen Daten wie den Standort und die Telefonnummer des Benutzers an Werbeserver verschicken.

Das geschieht indes vielfach nicht nur im Geheimen und ohne Wissen des Nutzers, sondern bisweilen auch im Hintergrund, wenn die betreffende App keine Werbung anzeigt. Es gab Fälle, in denen der Standort des Nutzers bis zu alle dreissig Sekunden übermittelt wurde - eine heimliche Tracking-Funktion.

Das Problem daran ist, dass ähnliche Praktiken zwar im Internet mit Cookies auch möglich sind, aber sie beziehen sich nur auf Surf-Daten des Nutzers. Auf Android allerdings können Informationen aus dem Handy ausgelesen werden, die den Nutzer nicht nur eindeutig identifizieren (wie seine Telefonnummer). Zwar muss man beim Installieren einer App deren Zugriff auf alle sensiblen Bereiche des Telefons explizit bejahen.

Aber dabei wird erstens nicht klar, wozu die Anwendung die Daten braucht, noch, wie häufig sie vermittelt werden: Ein Rennfahrer-Spiel beispielsweise scheint keinen Zugriff auf das GPS haben zu müssen, der kann aber nützlich sein, wenn in Mehrspieler-Modi mit in der Nähe befindlichen Gegnern gespielt werden soll. Aber ob das GPS darüber hinaus für andere Zwecke missbraucht wird, kann der Benutzer nicht einschätzen.

Das ist einigermassen beunruhigend, denn auch wenn Google schädliche Anwendungen via Market zurückziehen kann und das auch schon mit einer App getan hat, welche die Telefonnummern der Nutzer nach China übermittelte, wobei sich herausstellte, dass sie nur zur Registrierung der Programmnutzer gebraucht wurde: Theoretisch können sich Programmierer so Zugriff auf alles, was in meinem Phone vorgeht, beschaffen, bis hin zum Inhalt von SMS. Ich muss bei jeder Installation abschätzen, ob ich diesem Spiel oder jenem Programm den Zugriff auf bestimmte Funktionen geben will oder nicht, und selbst wenn ich glaube, dass Google echte Schädlinge sofort erkennen und blockieren würde, kann ich die Datenübermittler aus den Grauzonen des Persönlichkeitsschutzes nicht erkennen.

Die ausführlichen Resultate der Studie werden an der Usenix OSDI conference veröffentlicht.

Via arstechnica

Jetzt gratis anmelden und wir unterstützen Sie mit Informationen und aktuellen Lernangeboten!