TaintDroid lieferte falsche Ergebnisse

Eine Meldung von vor fünf Tagen sorgte für immense Diskussionen rund um das Thema Datenschutz & Handys. Der Auslöser dafür war eine Studie der Duke University, der Pennsylvania State University und den Intel Labs.

Mittels der Software TaintDroid ermittelten Forscher, auf welche Daten Android-Apps zugriffen und was sie davon an Server weiterleiteten. Unter den zufällig ausgewählten Programmen befand sich auch der beliebte Barcode Scanner, der unter anderem durch das Fotografieren eines Strichcodes Produkte erkennen kann. Laut Studie griff das Programm unter anderem auf die Standort- und Geräte-Informationen zu. In der Zwischenzeit hat sich aber herausgestellt, dass dies nicht der Fall war und ist. Auf der Barcode Scanner-Homepage findet man inzwischen eine Stellungnahme der Entwickler und auch von den Forschern selbst gibt es mittlerweile eine Erklärung.

Dort heißt es, dass ein Programmierfehler Grund für die fehlerhafte Erkennung gewesen sei. Diesen Fehler habe man inzwischen behoben und auch die Studien-Ergebnisse dahingehend abgeändert.

Nichtsdestotrotz bleibt die Frage, welche Programme Daten – insbesondere private – an Dritte übermitteln. Denn die Studie berücksichtigt nur 30 von zigtausend verfügbaren Apps, etliche schwarze Schafe sind also vermutlich gar nicht erfasst worden. In den Diskussionen rund um dieses Thema stößt man immer wieder auf die Frage, welches Betriebssystem sicher wäre und ob es nicht auch bei anderen Systemen solche Datenübertragungen gäbe. Wenige Tage nach der Veröffentlichung der Android-Studie wurden auch Ergebnisse einer anderen Untersuchung für das auf dem iPhone und iPad verwendete iOS vorgelegt. Demnach übertrugen zwei Drittel der untersuchten 57 Programme aus dem Apple App Store die sogenannte Unique Device Identifier – kurz UDID – an den Entwickler, in den meisten Fällen sogar unverschlüsselt. In einigen Fällen wurde sogar der Name des Besitzers im Klartext übermittelt.

Zwar werden Programme, die über den Apple App Store vertrieben werden, auf Sicherheitslücken überprüft, trotzdem scheint es möglich zu sein, ohne Einverständnis des Besitzers an sensible Daten zu gelangen. Und auch der eingebaute Schutzmechanismus in Android, der den Nutzer vor der Installation über die erforderlichen Zugriffsrechte des Programms informiert, bietet offensichtlich keinen ausreichenden Schutz. Denn solange der Nutzer nicht genau darüber aufgeklärt wird, welche Daten genau übertragen werden, sondern er nur eine kurze – teilweise kryptische – Zusammenfassung der erforderlichen Rechte zu Augen bekommt, steht dem ungewünschten Zugriff auf persönliche Daten auch weiterhin nichts im Wege.

Ob dies aber in Bälde kommen wird, darf wohl bezweifelt werden. Denn möglich wäre ein deutlich besserer Schutz schon heute, allein an der Implementierung scheitert es. In Zeiten, in denen Viren und Würmer schon für ganze Staaten zu einer Gefahr werden können, sollten die Entwickler von Betriebssystemen auch an die Sicherheit der auf den Geräten gespeicherten Daten denken.

Zukünftig könnten Hersteller also nicht nur mit der Geschwindigkeit des Prozessors oder der Display-Größe punkten, sondern auch – und vielleicht gerade – mit dem Argument Sicherheit.

Wir danken unserem Leser „Tunguska“ für den Hinweis auf die fehlerhafte Studie!