Android-Apps sammeln heimlich private Daten

Laut einer aktuellen Untersuchung aus den USA sammeln zahlreiche Programme aus dem Android Market private Nutzerdaten und senden diese teilweise ohne Kenntnis des Besitzers an Dritte. Ermittelt wurde dieses Verhalten mit TaintDroid, einer eigens für die Studie entwickelten Software.

Die Studie, die von der Duke University, der Pennsylvania State University und den Intel Labs durchgeführt und unterstützt wurde, zeigt große Lücken in der in Android integrierten Abschottung der Applikationen untereinander. Für die Untersuchung wurden aus jeder Kategorie des Android Market die 50 beliebtesten Programme ausgewählt, insgesamt 1.100. Aus den 358 Programmen, die vor der Installation auf den Zugriff auf das Internet in Kombination mit Zugriff auf Geo-Daten, Kamera oder Audio-Daten hinwiesen, wählte man dann zufällig 30 Programme aus.

Bei diesen 30 Programmen wurde dann während der Installation und dem erstmaligen Ausführen auf alle Hinweise geachtet, die den Nutzer über das Sammeln von Informationen und die Weiterleitung dieser informieren. Danach wurde der Datenverkehr mittels TaintDroid aufgezeichnet und später analysiert. Insgesamt wurden so 22.594 Datenpakete und 1.130 TCP-Verbindungen aufgezeichnet.

Bei 105 dieser Verbindungen wurden sensible Nutzerdaten übertragen. Von den 30 ausgewählten Programmen übertrugen 21 Daten, anhand derer sich Rückschlüsse auf das spezielle Handy und/oder den Aufenthaltsort ziehen ließen. Zwei dieser Programme übertrugen sowohl die IMSI-Nummer (International Mobile Subscriber Identity: interne Teilnehmerkennung) als auch die ICC-ID (Integrated Circuit Card-ID: Chipkarten-Identifizierungsnummer), die beide der Identifizierung des Nutzers dienen und weltweit jeweils nur ein einziges Mal vergeben werden. Eines der Programme enthielt keine Nutzungsbedingungen, das andere zeigte diese zwar beim ersten Ausführen an – ohne Hinweis auf das Sammeln und Weiterleiten – übertrug die entsprechenden Daten aber schon unmittelbar nach der Installation.

Neun weitere Programme übertrugen die IMEI-Nummer (International Mobile Equipment Identity: Mobilfunk-Gerätenummer), anhand derer ein Gerät zweifelsfrei identifiziert werden kann. Sieben dieser Programme verfügten entweder über keine Nutzungsbedingungen oder aber wiesen in ihnen nicht darauf hin, dass die IMEI gesammelt und übertragen wird. Zwei davon übertrugen die IMEI zusammen mit Geo-Daten, was darauf schließen lässt, dass die Standort-Informationen zusammen mit der Geräte-Identifizierung gespeichert werden. Lediglich ein einziges Programm wies im Vorfeld klar und deutlich darauf hin, dass die Gerätenummer übertragen wird.

Als letztes ging es um die Übertragung des Standortes an Werbenetzwerke. Hierbei fielen 15 Programme auf, die den Nutzer nicht darüber in Kenntnis setzten. An drei dieser Netzwerke wurden die Koordinaten im Klartext geschickt. In einigen Fällen wurden die Daten auch dann gesendet, wenn gar keine Werbung eingeblendet war oder wurde.

Letztendlich waren nur 37 der 105 TCP-Verbindungen durch den Nutzer legitimiert, beziehungsweise wurde er im Vorfeld über das Versenden informiert.