Schutz vor Spionage Apps

Android - App-Berechtigungen im Fokus

Wer Berechtigungen bereitwillig erteilt, hilft Spionage Apps beim Daten sammeln. Besonders Android Nutzer sind gefährdet und entsprechender Schutz ist wichtig.

Wer ein Android-Smartphone nutzt, sollte sich richtig schützen.

© Hersteller / Archiv

Wer ein Android-Smartphone nutzt, sollte sich richtig schützen.

In diesem Artikel erfahren Sie, wie Sie sich bei Ihrem Android Smartphone oder Tablet vor Spionage-Apps schützen können. Dazu benötigt es das richtige Management von Berechtigungen für Ihre installierten Apps.

Mehr als 250 Taschenlampen-Apps gibt es in Googles Play Store. Ihre Aufgabe: leuchten, vielleicht auch noch blinken. Warum aber muss eine Taschenlampe wissen, wo der Nutzer sich aufhält? Wozu benötigt sie die Gerätenummer des Smartphones? Und wieso interessiert sie der Telefonstatus und die Identität von Anrufern? Spionage Apps stellen besonders bei Android eine Gefahr für den Nutzer dar. Aber kann man sich davor überhaupt schützen, gibt es Sicherheitseinstellungen, die soetwas vorbeugen?

So wie die Taschenlampen-App Brightest Flashlight Free. Sie hat ohne Wissen der User persönliche Daten wie Standort und Gerätenummer an die Server des Entwicklers weitergeleitet, offenbar zu Werbezwecken. Alarm geschlagen  hat die US-Aufsichtsbehörde Federal Trade Commission (FTC) - ausnahmsweise. Denn die App, die laut Play Store auf bis zu 100 Millionen Geräten installiert wurde, ist längst nicht die einzige, die so vorgeht. Berüchtigt sind zum Beispiel auch manche Notiz-Apps, die Telefonbuch, Telefonstatus und Standort auslesen können.

Mitschnitte und Kamera-Aktivierung

Bis zu 124 verschiedene Berechtigungen können sich Android-Apps erteilen lassen - von Mitschnitten der Telefonate, Aufzeichnung der Rufnummern über Aktivierung von Kamera und Mikro bis hin zur Erstellung von Bewegungs- und Konsumprofilen anhand des Surfverhaltens. Wenn Sie nicht aufpassen, greift die App auf Daten zu, die sie gar nichts angeht. Whatsapp zum Beispiel erlaubt sich beinah alles - und sendet Daten auch noch unverschlüsselt an seine Server.

aSpoCat,Android,Apps,Schutz

© Hersteller/Archiv

Die App aSpoCat listet alle möglichen Berechtigungen auf und zeigt, welche Apps diese verwenden.

Verdächtig sind vor allem Gratis-Apps. Der Sicherheitsexperte Bitdefender hat 260.000 kostenlose Apps aus Googles Play Store untersucht. Fast 36 Prozent von ihnen können den User tracken, indem sie den Aufenthaltsort feststellen. 14 Prozent sind in der Lage, die Geräte-ID des Smartphones an die eigenen Server zu schicken. Jeweils knapp zehn Prozent der Apps können Kontakte auslesen oder Telefonnummern abgreifen. Immerhin noch rund 6,5 Prozent lesen die E-Mail-Adresse aus oder können den Browser-Verlauf protokollieren.Doch nicht alle Rechte, die sich eine App einräumen will, sind "böse". Was eine App darf, hängt immer von ihrer Funktion ab.

Avast,Android,Apps,Schutz

© Hersteller/Archiv

Mit der Firewall von Avast lässt sich festlegen, wie sich jede App mit dem Internet verbinden darf.

Die Skype-App muss natürlich Telefonnummern anrufen dürfen. Eine App ohne Telefonfunktion - etwa ein Cloud-Speicherdienst - muss das nicht können. Die Taschenlampen-App braucht die Erlaubnis auf die Kamera zuzugreifen, weil sie das LED-Licht als Leuchtquelle nutzt. Und eine Navi-App muss auf den Standort des Nutzers zugreifen, sonst kann sie nicht den Weg anzeigen. Die Nutzer müssen bei der Installation zwar zustimmen, dass eine Anwendung bestimmte Berechtigungen bekommt. Diese werden einzeln aufgelistet und können auch später in den App-Einstellungen nachgelesen werden. Aber es ist nicht möglich, einzelne Rechte abzuwählen, weil man sie für wenig sinnvoll oder gar gefährlich hält.

Es gilt das Prinzip: friss oder stirb. Entweder akzeptiert der User alle Berechtigungen - oder eben nicht. Dann kann er die Anwendung allerdings nicht installieren.

Besitzer eines Android-4.3-Geräts haben mehr Rechte

Eine kurze Zeit sah es so aus, als wollte Google dem User mehr Kontrolle geben: In Android 4.3 gibt es die Möglichkeit, jeder App nur bestimmte Rechte zu erteilen und andere zu entziehen. Allerdings ist das Kontrollzentrum App Ops (deutsch: App-Vorgänge) in Android 4.3 (Jelly Bean) nur über einen Umweg zu nutzen, und bei Android 4.4.2 (KitKat) entgegen aller Gerüchte schon wieder abgeschafft. Google begründet das damit, dass App Ops ursprünglich gar nicht für Anwender zugänglich sein sollte.

Apps,Android,Berechtigung,Einstellungen

© Archiv

Was können User also tun, damit sich eine App nicht unberechtigt Zugriff auf alle möglichen Daten erlaubt? Da hilft nur eins: Immer genau prüfen, welche Berechtigungen sich eine App erlauben will - und im Zweifel nicht installieren. Doch neben den eigentlich harmlosen Apps, die sich zu viele Rechte einräumen, gibt es auch noch gefährliche Android-Anwendungen. In manchen Gratis-Apps verstecken sich Schädlinge, die Telefonnummern oder sonstige Daten an zwielichtige Werbenetzwerke weitergeben, Spam in Push-Nachrichten verschicken oder sensible Daten wie die Online-Banking-PIN abgreifen. Nach Ansicht der Antivirenhersteller wächst die Zahl der Apps mit Schad-Software explosionsartig: Von einer Million bösartiger Android-Anwendungen spricht Trend Micro. 75 Prozent von ihnen sollen einen schädlichen Code ausführen, die anderen spielen Werbung aus, die zu zwielichtigen Webseiten führt oder sich in der Infoleiste festsetzt.

Viele Schädlinge tarnen sich als bekannte App

Viele dieser Schädlings-Apps finden sich in den alternativen App-Stores, also nicht bei Google Play. Ein beliebter Trick der Übeltäter: Sie tarnen sich als bekannte Apps. So geben sie sich etwa als Gratisversion eines ansonsten kostenpflichtigen Spiels aus. Und das versendet unbemerkt teure Premium- SMS. Am besten schützen sich User, indem sie die Augen offenhalten: also nicht einfach dubiose Apps auf ihrem Handy installieren, bei alternativen Android Stores zumindest genauer hinschauen, Berechtigungen der Apps prüfen und ein Antivirenprogramm nutzen.

SRT-Webguard,Android,Apps,Schutz

© Hersteller/Archiv

SRT-Webguard ermöglicht es, Apps einzelne Berechtigungen zu entziehen - ohne Rooten.

Doch auch wenn Sie all das beachten, können Sie völlig unbemerkt zur Zielscheibe werden - und zu einem offenen Buch. Der US-Geheimdienst NSA brüstete sich damit, Smartphones aller Hersteller überwachen zu können. Nach Informationen des Spiegel können die Spione nahezu alle persönlichen Informationen von iPhones, Blackberrys und Android-Handys auslesen - von der SMS über den Standort bis zu Kontakten. Angeblich greift die NSA dazu über den Computer eines Nutzers zu, mit dem das Handy synchronisiert wird. Zwar dürfte dies nicht flächendeckend passiert sein, genau weiß das allerdings außer der NSA niemand. Was also tun?

Clueful,Android,Apps,Schutz

© Hersteller/Archiv

Clueful prüft jede Anwendung und teilt sie in drei Risikogruppen ein: gering, moderat und hoch.

Ein abhörsicheres Telefon mit Kryptoprozessor wird sich bei einem Preis von mehreren tausend Euro kaum jemand leisten können. Aber verschiedene Apps helfen dem User, sein Handy undurchsichtiger zu machen. Sie ermöglichen anonymes Surfen und verschlüsselte Messages oder Telefonate. Letzteres klappt aber nur, wenn beide Kommunikationspartner das gleiche Verschlüsselungsprogramm nutzen. Die Gratis-App RedPhone ermöglicht abhörsichere Internettelefonie (VoIP) zwischen Android-Handys. Der Dienst Silent Phone verschlüsselt neben Gesprächen auch Nachrichten und Mails, kostet allerdings zwischen 100 und 240 Dollar pro Jahr. Mails auf dem Handy kodieren kann man wie auf dem Desktop-Rechner mit dem OpenPGP-Standard. Ein solches Feature bringt zum Beispiel der Dienst Android Privacy Guard (APG) mit, der mit der Mail-App K-9 Mail zusammenarbeitet.

Im Zweifelsfall ist es besser, eine suspekte App nicht zu installieren

Letztlich liegt es in Ihrer Hand, wie sicher Ihr Android-Smartphone ist. Sie sollten bei jeder App, die Sie nutzen wollen, die Rechte prüfen, die diese sich einräumen will. Auch Apps, die keine Viren verbreiten oder Malware enthalten, können ein Sicherheitsrisiko beinhalten, wenn sie sensible Daten unverschlüsselt an die Server der Entwickler senden - oder Informationen sammeln, die sie nichts angehen. Im Zweifel sollten Sie auf die Nutzung einer App verzichten oder zu einer Alternative greifen, mit der viele andere User positive Erfahrungen gemacht haben. Das können Sie anhand der Bewertungen und Kommentare im Play Store prüfen.

Berechtigung,Apps,Schutz,Sicherheit,Android,Smartphone

© Hersteller/Archiv

Hier werden auch fragwürdige Rechte angespochen und diskutiert. Datenklau verhindern kann man aber auch ganz leicht mit einer simplen und pfiffigen Idee: Die App "Fake Permissions" kann keine Berechtigungen verändern. Sie schickt stattdessen einfach falsche Informationen an die fremden Server - zum Beispiel eine leere Kontaktliste oder einen falschen Standort.

Mehr zum Thema

Mit unseren Tipps sind Sie als Android-Nutzer sicherer unterwegs.
Sicher surfen

Wir haben Android-Tipps für mehr Sicherheit im Internet und mit Apps. Mit uns surfen Sie sicher auf Tablet und Smartphone.
Wir stellen drei sichere Whatsapp-Alternativen vor.
Whatsapp Alternative

Als Whatsapp Alternative mit sicher verschlüsselten Nachrichten eignen sich einige Apps. Wir stellen Ihnen Threema, Telegram und MyEnigma vor.
Das Browser-Tracking ist dank Cookies möglich - auch beim Inkognito-Modus.
Chrome, Firefox & Opera

Auch wenn User im Internet per Inkognito-Modus unterwegs sind und keine Cookies speichern, können Nutzer nachverfolgt werden.
Angriff via Chrome-Addon
Webpage Screenshot löschen

Wer die Chrome-Erweiterung Webpage Screenshot nutzt, sollte das Addon sofort löschen. Das Tool zum Abfotografieren von Webseiten spioniert Nutzer…
Symbolbild für Internet-Sicherheit und Spionage
Sicherheits-Report

Android-Sicherheit: Tablets und Smartphones geraten verstärkt in den Fokus der Cyber-Kriminellen. Wie Sie sich vor Malware und Viren schützen!