Smartphone-Studien Apps machen Handys zu Spionagewanzen

Schockierende Studien oder erwartbares Ergebnis? Forscher haben untersucht, welche persönlichen Daten iPhone- und Android-Apps an ihre Heimat-Server übertragen. Die Ergebnisse dürften viele Handynutzer erschrecken.

Android-Handy mit Apps: Oft übertragen die kleinen Programme auch persönliche Daten
AFP

Android-Handy mit Apps: Oft übertragen die kleinen Programme auch persönliche Daten


Je smarter Handys sind, umso mehr verraten sie über ihren Besitzer, oft ohne dass der davon etwas mitkriegt. So in etwa lassen sich zwei Studien interpretieren, für die untersucht wurde, wie viele beziehungsweise welche persönlichen Daten Android-Handys und iPhones an die Server von Software-Herstellern übermitteln. Die Ergebnisse dieser Untersuchungen sind ernüchternd: Zwei Drittel der überprüften Apps senden bei jedem Aufruf Daten nach Hause.

Ob diese intensive Informationssammelei für einen reibungslosen Betrieb der Apps wirklich nötig ist, muss man bezweifeln. Interessant ist sie dagegen vor allem für Werbetreibende, denen die Information, wo ein potentieller Kunde sich gerade aufhält, durchaus Geld wert sein dürfte. Dabei gibt es zwischen den beiden derzeit populärsten Smartphone-Plattformen offenbar kaum einen Unterschied.

Besonders interessant ist das Projekt TaintDroid, das gemeinsam von der Pennsylvania State University, der Duke University und den Intel Labs entwickelt wurde. Im Grunde ist TaintDroid eine App, die nicht leicht zu installieren, dafür aber tief im Betriebssystem zu verankern ist. Einmal in die Systemsoftware hineinkompiliert, protokolliert die App, welche Daten von den jeweils genutzten Apps wohin gesendet werden.

Insgesamt untersuchten die Wissenschaftler auf diese Weise das verhalten von 30 populären Android-Apps. Während sie Details erst auf der USENIX-Konferenz in Vancouver bekanntgeben wollen, haben sie die wichtigsten Ergebnisse ihrer Untersuchung schon jetzt publiziert. Demnach sendeten 20 der getesteten Apps persönliche Informationen an ihre Server. Neben Standortinformationen werden auch Gerätenummer, Sim-Nummern und sogar Telefonnummern übertragen.

Nur 14 Prozent sind sauber

Ganz ähnlich lesen die Ergebnisse, die Eric Smith von der Bucknell University in Lewisburg zusammengetragen hat. Der Experte für Datenschutz und Netzwerke analysierte insgesamt 57 Apps aus dem Top-10-Listen von Apples App Store daraufhin, ob sie die sogenannten UDID des genutzten iPhone nach außen übertragen. Die UDID, das Kürzel steht für den Begriff "Unique Device Identifier", ist so etwas wie eine einmalige Seriennummer. Damit ist jedes bisher produzierte iPhone eindeutig identifizierbar.

Smiths Ergebnis: Auch hier übermittelten zwei Drittel der Apps die UDID an einen Server des jeweiligen Herstellers, und zwar jedes Mal, wenn man sie aufruft. Einige davon können die UDID dabei auch mit dem Klarnamen des Nutzers verknüpfen. So etwa die Amazon App, die beim Einloggen die Geräteinformationen mit überträgt. Von weiteren 18 Prozent der untersuchten Apps ließ sich nicht eindeutig klären, welche Daten sie an ihre Server sendeten. Sie verschlüsselten die Übertragung per SSL, so dass auch Smith keinen Einblick bekam. Lediglich 14 Prozent der getesteten Apps konnte der Experte attestieren, dass sie stillschweigen und keine Daten nach außen senden.

Der Anwender hat keine Chance

Der Schluss, den die Autoren beider Studien aus ihren Untersuchungsergebnissen ziehen, ist in beiden Fällen gleich: Anwender von iPhones und Android-Handys sind den Info-Interessen der App-Anbieter hilflos ausgeliefert. Die Autoren von TaintDroid kritisieren, das es für Android-User keine Möglichkeit gibt, darauf Einfluss zu nehmen, welche App welche Daten wohin sendet. Im Grunde habe sie auch Recht damit, müssen sich aber den Einwand gefallen lassen, dass Android bei der Installation einer App zumindest rudimentär darauf hinweist, welche Daten diese App abgreift und ob sie sich mit dem Internet verbindet. Hier besteht die einzige Möglichkeit für den Anwender darin, eine App im Zweifel eben nicht zu installieren.

Nicht viel anders sieht auch die Schlussfolgerung von Eric Smith aus. Er weist darauf hin, dass es möglich und sehr einfach umsetzbar ist, mithilfe der UDID beispielsweise Bewegungsmuster oder Nutzerprofile zu erstellen. Dass vor allem Werbetreibende ein großes Interesse an solchen Daten haben, scheint außer Frage. Die meisten Apps sendeten ihre Daten an Google Analytics, ein Auswertungstool für Online-Werbung. Abschalten oder blockieren kann man diese Übertragungen ebenso wenig wie bei Android, so Smith.

So verstörend diese Erkenntnisse für manche Handynutzer sein mögen, so wenig überraschend sind die auch. Schließlich sehen Mobilfunkbranche und Werbetreibende im mobilen Umfeld die Werbeflächen der Zukunft. Die sollen natürlich so effektiv wie nur möglich genutzt werden. Und genau dafür sammeln die Werber so viele Daten wie nur möglich, um ihre Kampagnen so zielgerichtet wie nur möglich auf die Nutzer abfeuern zu können.

Wirklich gefährlich aber wird es erst, wenn diese Daten zu anderen Zwecken oder von anderen Institutionen verwendet werden. Und über solchen Missbrauch gibt es bisher noch keine Berichte, was hoffentlich noch eine Weile so bleibt.

mak

Mehr zum Thema


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.