Handysoftware

Fraunhofer AISEC prüft 10.000 Android-Apps auf Mängel und Datensammelwut

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) hat in einem groß angelegten Test mit 10.000 Android-Apps bei vielen Anwendungen eklatante Mängel und undurchsichtige Datentransfers festgestellt.

06.03.2014, 14:21 Uhr
Smartphone© goodluz / Fotolia.com

Dass es bei vielen Apps eher schlecht um Datenschutz und Sicherheit bestellt ist, dürfte für die meisten Smartphone-Nutzer inzwischen kein Geheimnis mehr sein. Belastbare Zahlen sind bisher allerdings Mangelware. In einem Massentest hat das deutsche Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) nun systematisch 10.000 der beliebtesten Android-Apps unter die Lupe genommen und dabei eklatante Mängel aufgedeckt.

Für den Nutzer oft undurchschaubar

Untersucht wurden die Anwendungen mit dem in Eigenregie entwickelten Analyse-Tool "App-Ray". Dieses prüft Apps vollautomatisch auf Schwachstellen und Programmierfehler sowie vorsätzliche Transfers sensibler Nutzerinformationen. Die Forscher stellten dabei fest, dass mehr als 9.000 Apps generell auf das Internet zugreifen und entsprechende Berechtigungen verlangen. Wofür die Verbindung im Einzelnen genutzt wird, erfahre der Nutzer in der Regel nicht.

Oft mit gutem Grund: So sende ein Großteil der Anwendungen bereits zum Start persönliche Daten an den Anbieter. Insgesamt zählten die Fraunhofer-Experten weltweit 4.358 Server, auf denen ungefragt Informationen hinterlegt wurden. "Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden", erklärt Julian Schütte, Projektleiter für Mobile Sicherheit.

Unverschlüsselte Datenübertragungen

Ein weiteres Problem sei die unverschlüsselte Datenübertragung. So kommunizierten laut AISEC rund 7.000 Apps im Klartext nach außen, wobei 448 Anwendungen eindeutig persönliche Daten wie etwa die Seriennummer des verwendeten Endgeräts - kurz IMEI - verschickten. Fast die Hälfte der geprüften Apps war zudem in der Lage, den aktuellen Aufenthaltsort zu bestimmen; rund 4.000 konnten den Gerätestatus auslesen. Immerhin nahezu ein Fünftel der Testkandidaten läuft dabei permanent im Hintergrund. Weitere Gefahren drohen durch schlechte Schutzvorkehrungen. Ein gutes Viertel gebe etwa vor, eine sichere SSL-Verbindung zum Internet aufzubauen, prüfe aber das Server-Zertifikat anschließend nicht auf Gültigkeit.

Für den Nutzer bleibt es derweil schwierig, schwarze Schafe auf Anhieb zu erkennen. Wichtigster Schutz ist ein genaues Studium der bei Installation verlangten Berechtigungen. Sind diese für den Betrieb der Anwendung offensichtlich unnötig, ist besondere Vorsicht angesagt. Im Zweifel sollte auf die Anwendung komplett verzichtet werden. Gute Hinweise auf Unstimmigkeiten geben oft auch Bewertungen anderer Nutzer. Zudem ist es dringend zu empfehlen, Apps prinzipiell nur aus vertrauenswürdigen Quellen wie dem offiziellen Google Play Store zu beziehen. Zusätzliche Sicherheit für Smartphone und Tablet kann darüber hinaus eines von zahlreichen Schutzprogrammen bieten.

Unterdessen hat auch Google neue Maßnahmen zur Eindämmung von Malware auf Android-Geräten angekündigt. So sollen künftig auch Apps aus fremden Stores regelmäßig auf verdächtige Funktionen oder Schadsoftware gecheckt werden. Allerdings bleibt es generell dem Nutzer überlassen, ob er einer daraus resultierenden Warnung Folge leistet.

(Christian Wolf)

Kommentieren Forum
Zum Seitenanfang