| 19:10 Uhr

Smartphone-Apps als Trickbetrüger

Saarbrücken. Mobile Anwendungen haben eine neue Masche, um an die privaten Daten der Nutzer heranzukommen. Sie zapfen andere Programme an und überwinden so die Sicherungssysteme. Tausende Apps sind betroffen. David Seel

Das Smartphone-Betriebssystem Android steht schon länger in dem Ruf, mit privaten Daten der Nutzer nicht allzu sorgsam umzugehen. Auch die auf Android-Geräten installierten Apps sammeln häufig große Datenmengen und fordern dazu teilweise völlig unnötige Berechtigungen. Daher empfehlen Sicherheitsexperten seit langem, die Berechtigungen von Apps genau im Auge zu behalten und sich Gedanken darüber zu machen, ob diese für die Funktion der Anwendung auch wirklich erforderlich sind.

Doch viele Apps haben inzwischen gelernt, solche Sicherheitsmaßnahmen zu umgehen - indem sie sich zusammentun. Wissenschaftler der Technischen Universität von Virginia haben herausgefunden, dass Smartphone-Programme untereinander kommunizieren und dadurch die individuell gesetzten Berechtigungen außer Kraft setzen können. Für ihre Untersuchungen haben die Forscher ein eigenes Programm entwickelt, das das Verhalten von über 110 000 Android-Apps kontrolliert hat. Getestet wurden die beliebtesten 100 000 Apps aus dem Google Play Store sowie 10 000 Apps, die bekannte Schadsoftware enthielten.

Die Ergebnisse der Untersuchung sind beunruhigend: "Uns war schon im Vorfeld bewusst, dass viele Apps untereinander kommunizieren könnten", sagt Professor Gang Wang, Dozent an der Universität. "Jetzt hat sich aber gezeigt, dass dieses Verhalten ein großes Sicherheitsproblem für den Nutzer darstellen kann." So könne beispielsweise eine Software mit Standortzugriff als Sender-App den Aufenthaltsort des Handys an eine Empfänger-App weitergeben, die dafür eigentlich keine Berechtigung hat. Die Empfänger-App könne diese Daten dann ohne Wissen des Nutzers an die Server des Entwicklers weitergeben. Das sei besonders gefährlich, wenn es sich bei der Empfänger-App um Schadsoftware handelt, aber auch die gesammelten Daten von Empfänger-Apps ohne kriminelle Absichten könnten potenzielle Angriffsziele für Cyber-Kriminelle darstellen, so die Forscher.

Zwischen den getesteten Apps haben die Wissenschaftler über 1,7 Millionen Kontakte festgestellt. Sie gingen auf nur 116 Sender-Apps zurück, dafür kämen allerdings mehr als 45 000 Apps als mögliche Empfänger infrage.

Besonders bedenklich seien demnach Programme, mit deren Hilfe Nutzer beispielsweise Klingeltöne oder Anzeigeeinstellungen auf ihre persönlichen Vorlieben zuschneiden können. Mehr als 17 Prozent der getesteten Apps aus dieser Kategorie tauschten ungefragt Daten untereinander aus, über 13 Prozent setzten sich auf diesem Weg über Berechtigungen hinweg. Auch Reise- und Transport-Apps, mit denen sich beispielsweise Bus- oder Zugverbindungen finden lassen, fielen negativ auf. Über elf Prozent dieser Apps tauschten im Test unkontrolliert Daten. Das sei aus Datenschutzsicht besonders gefährlich, weil diese Programme im Normalfall den Standort des Nutzers aufzeichneten, so die Wissenschaftler. "Diese Problematik betrifft grundsätzlich natürlich auch deutsche Android-Nutzer", sagt Oliver Schranz, Sicherheitsforscher am Saarbrücker Kompetenzzentrum für IT-Sicherheit Cispa.

Laut Amiangshu Bosu, Dozent an der Universität von Illinois, sind die Gründe für das Verhalten der Apps nur schwer nachvollziehbar. Es sei kaum zu erkennen, ob ein Entwickler bösartige Absichten hegt, also beispielsweise Daten der Nutzer stehlen will, oder ob die Apps nur schlecht programmiert sind. In beiden Fällen stellten sie aber eine Gefahr für die Daten und somit der Privatsphäre der Anwender dar, so Bosu.

"App-Sicherheit erinnert momentan, was die Regulierung angeht, ein wenig an den Wilden Westen", sagt Gang Wang. So lange die Entwickler die Kommunikation zwischen Apps nicht unterbinden, können Nutzer laut dem Sicherheitsexperten nicht viel tun. "Wir wollen die Entwickler von Apps mit unserer Arbeit auf die Probleme hinweisen", sagt Wang. "Nutzern kann ich nur empfehlen, darüber nachzudenken, welche Apps sie installieren und wie viele davon sie wirklich brauchen." Denn weniger Apps bedeuteten auch weniger mögliche Wechselwirkungen, so der Wissenschaftler.

Cispa-Experte Oliver Schranz empfiehlt Nutzern außerdem, auf das kleine blaue Zeichen mit dem Hinweis "Top-Entwickler" zu achten, das neben Apps im Google-Play-Store angezeigt wird und auf seriöse Entwickler hinweisen soll. "Jeder kann heutzutage Apps entwickeln, die mit hoher Wahrscheinlichkeit dann auch im App-Store landen. Bei den Top-Entwicklern kann man zumindest davon ausgehen, dass versucht wird, Sicherheitslücken zu schließen."