10.000 Apps und eine Menge Sorgen

Apps sollen Smartphone-Nutzer im privaten und beruflichen Alltag unterstützen. Das tun sie auch. Deshalb erfreuen sie sich fortwährend großer Beliebtheit. Doch häufig tun sie mehr, als den Helfer im Alltag zu spielen. Sie greifen auf Gerätefunktionen zu, sammeln Daten und schicken sie weiter. [...]

Dem Nutzer fehlt meist der Ein- und Überblick, was die Apps im Hintergrund anstellen – dabei kann dies die Sicherheit seines Geräts und seine Privatsphäre gefährden. Ein umfangreicher Test von 10.000 Apps zeigt, dass der bereits öffentlich gewordene Fall der datensammelnden Spiele-App nur die Spitze des Eisbergs bildet und die Sorge der Nutzer im Zusammenhang mit der Übernahme eines Messenger-Dienstes berechtigt ist.
 
Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. „Android als Betriebssystem ist auf dem Vormarsch und es gibt bereits heute fast eine Million Android-Apps, Tendenz rapide steigend. Mit dem Test der beliebtesten 10.000 wollten wir uns ein umfassendes Bild von den Mängeln der Apps machen.“, so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC. Alle Apps sind mit dem Analyse-Werkzeug App-Ray, das vom Team um Dr. Schütte entwickelt wurde, analysiert worden. App-Ray unterzieht Apps einer vollautomatischen Analyse und deckt mögliche Sicherheitsmängel auf. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

STARKES SENDEBEWUSSTSEIN
Ein wichtiges Ergebnis des Tests ist, dass mehr als 9000 (91%) der getesteten 10.000 Apps eine Berechtigung (Permission) für den Aufbau einer Internetverbindung vom Nutzer verlangen. Dieser muss bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne zu wissen, wozu diese Verbindung genutzt wird. Weit kritischer für den Nutzer ist dabei die Tatsache, dass ein Großteil der Apps diese Verbindungen nutzt, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers. „Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Permissions genau macht, bleibt offen.“, so Schütte weiter. Dabei ist die Verbindung zum Internet für viele Apps notwendig (News, Social Networks), jedoch ist sie bei Anwendungen wie einer Taschenlampen-App für den Benutzer nicht immer nachvollziehbar.
Des Weiteren stellten die Forscher fest, dass ca. 7000 Apps (69 %) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI an Server im Netz. Der Nutzer hat in den wenigsten Fällen Einflussmöglichkeiten. So starten 1732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3930 lesen den Gerätestatus aus.
 
Die Sicherheit des Nutzers wird zudem durch unzureichend programmierte Apps bedroht. So gibt ein gutes Viertel (26 %) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung leicht angreifbar ist.

APP-RAY
App-Ray ist eine Lösung für Unternehmen und ermöglicht eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps nach vorher festgelegten Kriterien. Dabei stellen die Unternehmen den Katalog der Untersuchungskriterien selbst zusammen, so dass Analysen mit App-Ray genau auf die unternehmensspezifischen Anforderungen hin zugeschnitten sind. „Die IT-Abteilung kann zum Beispiel festlegen, dass Apps bestimmte Daten nicht oder nur verschlüsselt versenden dürfen, was in der heutigen Zeit eine zunehmend wichtige Rolle einnimmt“, so Schütte. Zusätzlich zu einer Einschätzung der Sicherheit einer App in Bezug auf die definierten Kriterien stellt App-Ray transparent detaillierte Untersuchungsdaten zur Verfügung, die von Entwicklern und Sicherheitsexperten als Basis für eine eingehendere manuelle Untersuchung verwendet werden können.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*