Android-Apps sammeln heimlich private Daten

Laut einer aktuellen Untersuchung aus den USA sammeln zahlreiche Programme aus dem Android Market private Nutzerdaten und senden diese teilweise ohne Kenntnis des Besitzers an Dritte. Ermittelt wurde dieses Verhalten mit TaintDroid, einer eigens für die Studie entwickelten Software.

Die Studie, die von der Duke University, der Pennsylvania State University und den Intel Labs durchgeführt und unterstützt wurde, zeigt große Lücken in der in Android integrierten Abschottung der Applikationen untereinander. Für die Untersuchung wurden aus jeder Kategorie des Android Market die 50 beliebtesten Programme ausgewählt, insgesamt 1.100. Aus den 358 Programmen, die vor der Installation auf den Zugriff auf das Internet in Kombination mit Zugriff auf Geo-Daten, Kamera oder Audio-Daten hinwiesen, wählte man dann zufällig 30 Programme aus.

Bei diesen 30 Programmen wurde dann während der Installation und dem erstmaligen Ausführen auf alle Hinweise geachtet, die den Nutzer über das Sammeln von Informationen und die Weiterleitung dieser informieren. Danach wurde der Datenverkehr mittels TaintDroid aufgezeichnet und später analysiert. Insgesamt wurden so 22.594 Datenpakete und 1.130 TCP-Verbindungen aufgezeichnet.

Bei 105 dieser Verbindungen wurden sensible Nutzerdaten übertragen. Von den 30 ausgewählten Programmen übertrugen 21 Daten, anhand derer sich Rückschlüsse auf das spezielle Handy und/oder den Aufenthaltsort ziehen ließen. Zwei dieser Programme übertrugen sowohl die IMSI-Nummer (International Mobile Subscriber Identity: interne Teilnehmerkennung) als auch die ICC-ID (Integrated Circuit Card-ID: Chipkarten-Identifizierungsnummer), die beide der Identifizierung des Nutzers dienen und weltweit jeweils nur ein einziges Mal vergeben werden. Eines der Programme enthielt keine Nutzungsbedingungen, das andere zeigte diese zwar beim ersten Ausführen an – ohne Hinweis auf das Sammeln und Weiterleiten – übertrug die entsprechenden Daten aber schon unmittelbar nach der Installation.

Neun weitere Programme übertrugen die IMEI-Nummer (International Mobile Equipment Identity: Mobilfunk-Gerätenummer), anhand derer ein Gerät zweifelsfrei identifiziert werden kann. Sieben dieser Programme verfügten entweder über keine Nutzungsbedingungen oder aber wiesen in ihnen nicht darauf hin, dass die IMEI gesammelt und übertragen wird. Zwei davon übertrugen die IMEI zusammen mit Geo-Daten, was darauf schließen lässt, dass die Standort-Informationen zusammen mit der Geräte-Identifizierung gespeichert werden. Lediglich ein einziges Programm wies im Vorfeld klar und deutlich darauf hin, dass die Gerätenummer übertragen wird.

Als letztes ging es um die Übertragung des Standortes an Werbenetzwerke. Hierbei fielen 15 Programme auf, die den Nutzer nicht darüber in Kenntnis setzten. An drei dieser Netzwerke wurden die Koordinaten im Klartext geschickt. In einigen Fällen wurden die Daten auch dann gesendet, wenn gar keine Werbung eingeblendet war oder wurde.

Letztendlich waren nur 37 der 105 TCP-Verbindungen durch den Nutzer legitimiert, beziehungsweise wurde er im Vorfeld über das Versenden informiert.

Ergänzungen unserer Leser
  • Laut diesem Artikel :

    The Weather Channel, Cestos, Solitaire, Movies, Babble, Manga Browser, Bump, Wertago, Antivirus, ABC - Animals, Traffic Jam, Hearts, Blackjack, Horoscope, 3001 Wisdom Quotes Lite, Yellow Pages, Dastelefonbuch, Astrid, BBC News Live Stream, Ringtones, Layer, Knocking, Barcode Scanner, Coupons, Trapster, Spongebob Slide, ProBasketBall, MySpace, ixMAT, and Evernote


    Natürlich ist das erstmal auf den amerikanischen Bereich begrenzt, aber ich würde nicht glauben das es bei den Apps im deutschsprachigen Raum besser aussieht.

  • die apps werden NICHT VON GOOGLE ENTWICKELT

    das heißt, schuld ist der Entwickler, nicht Google

    Das ist so, als würdet ihr Microsoft dafür verantwortlich machen, wenn ihr Viren und/oder Malware installiert.

  • Alles in allem nur ein weiterer Grund um Android zu meiden. Bunshichi


    War irgendwie abzusehen bei Google.... I N X S


    Bevor genau dieser Hirn-Dünnpfiff hier verbreitet wird, sei angemerkt, dass es sich um Apps von Drittanbietern handelt. Genau das gleiche Problem hat man, wenn man einfach unüberlegt jede denkbare Extension für den Firefox oder sonstiges in ähnlicher Art installiert.

    Und das hier:

    zeigt große Lücken in der in Android integrierten Abschottung der Applikationen untereinander


    ist ein konzeptionelles Problem. Wenn facebook-app irgendwas unter tmp ablegt, was anderen App Schreibern dank Lizenzvereinbarung etc. zur Einsicht freigegeben wird um deren Dienst zu "erweitern", dann kann das nicht _einfach so_ unterbunden werden. Da bringt auch Windows Phone 7 nix.

    Das einzige was sich hinterfragen, bzw. Google/Android vorwerfen lässt ist, ob es wirklich notwendig ist, die App-API so zu gestalten, dass auch die Informationen zu IMSI oder ICC-ID lesbar sind.

Mehr zum Thema