Daten sind die wertvollste Währung des digitalen Zeitalters – an sie heranzukommen, ist trotz massiver Sicherheitsvorkerhrungen in vielen Fällen leider längst nicht so schwer, wie wir es uns nicht erst seit der Einführung der DSGVO wünschen würden. Eine der größten Gefahren stellen hierbei unsere ständigen Begleiter dar: Smartphones.
Android Apps greifen unerlaubt auf Daten zu
Wer eine Android-App installiert, bekommt vor dem Download eine Liste mit den erforderlichen Berechtigungen präsentiert. So weiß der Nutzer bereits vor der Installation, auf welche Daten eine App Zugriff hätte. Doch wie eine neue Studie des International Computer Science Institute der US-Universität Berkeley zeigt, halten sich viele Android-Apps nicht an diese Vereinbarung. Im Zuge der Studie wurden 88.113 Apps aus dem US-Angebot des Google Play Store geprüft. Davon griffen insgesamt 1325 Apps auf Daten zu, für die sie keinerlei Berechtigung hatten, unter anderem Standort und Daten, die das Gerät und den Nutzer eindeutig identifizierbar machten.
Die Studie, die bereits Ende Juni präsentiert wurde, übt heftige Kritik an der Vorgehensweise der App-Entwickler: "Grundsätzlich haben Konsumenten nur sehr wenige Möglichkeiten und Ansätze, um ihre Daten zu schützen und bewusste Entscheidungen darüber zu treffen", so Serge Egelman, einer der Studienautoren. "Wenn App-Entwickler das System einfach umgehen können, dann macht es auch keinen Sinn, nach Erlaubnis zu fragen."
Foto-App holt sich Standort auf Umwegen
Die Studienautoren haben Google über die entdeckten Schlupflöcher bereits vergangenen September informiert. Der US-Konzern versprach, diese in der kommenden Android-Version Q zu stopfen. Unter anderem werden Apps Fotos und WLAN-Daten nicht mehr nutzen können, um ohne ausdrückliche Erlaubnis den Standort zu bestimmen. Derartiges Verhalten wies unter anderem die beliebte Foto-App Shutterfly auf, die laut Play Store mehr als fünf Millionen Mal heruntergeladen wurde.
IMEI über SD-Karte
Einige Apps missbrauchten auch die Berechtigungen anderer Apps. Die chinesische Werbeplattform Salmonads speicherte beispielsweise persönliche Daten wie die IMEI, die eindeutige Seriennummer eines Smartphones, auf der SD-Karte. Auch Dritt-Apps konnten so ohne Erlaubnis für den Zugriff auf diese Daten darauf zugreifen. Das war kein Zufall: So konnte das Werbenetzwerk Nutzer verlässlich tracken, auch wenn diese einzelnen Apps die notwendigen Berechtigungen verweigerte.
Zumindest 13 untersuchte Apps nutzten diese Methode, 153 weitere Apps wären dazu technisch in der Lage und enthielten den entsprechenden Code. Dazu zählt unter anderem auch eine App für Besucher von Disneyland Hong Kong, Samsung Health und Samsung Browser. Die Samsung-Apps allein weisen laut Google je mehr als 500 Millionen Downloads auf und sind auf den meisten Samsung-Smartphones vorinstalliert.
Hunderte Millionen Nutzer von DSGVO-Verstoß betroffen
"Von diesen Entdeckungen dürften hunderte Millionen Nutzer betroffen sein", heißt es in der Studie. Besonders kritisiert werde das fahrlässige Vorgehen der App-Entwickler, da auch in guter Absicht gesammelte Daten zu einer Gefahr für den Nutzer werden könnten. Sie gehen auch davon aus, dass die Entwickler mit diesem Vorgehen gegen geltende US- und EU-Gesetze verstoßen haben. (red)
www.recon.meddle.mobi
