Ratgeber: "Mobiler Datenschutz"

So erkennen Sie Spionage-Apps

Immer mehr Apps erdreisten sich, den Anwender schamlos auszuspionieren. Wir zeigen Ihnen worauf Sie achten müssen und wie Sie Schnüffel-Apps erkennen.

So erkennen Sie Spionage-Apps

© Hersteller/Archiv

So erkennen Sie Spionage-Apps

Am Smartphone ist die Grenze zwischen Spyware und Trojaner fließend. Für das Android-Handy gibt es Programme, die eine unwesentliche Funktion erfüllen (etwa die Taschenlampe), sich aber allumfassende Rechte auf dem Gerät gönnen. Dieser Zugriff geht weit über das hinaus, was für die Erfüllung der ausgewiesenen Aufgabe notwendig wäre. Das Verhalten tendiert somit in Richtung Trojaner und Spionage.

Ausgelesene IMEI-Nummer ist eindeutig zu zuordnen

software, apps, handy

© Hersteller/Archiv

Lookout Ad Network Detector findet Sypware auf dem Handy und liefert detaillierte Informationen darüber.

Andere Apps greifen von der Funktionalität her selbst sehr tief ins System ein, zum Beispiel Facebook oder Flickr, und sind daher mit allen Systemressourcen per Du. Auch hierbei beschleicht den Anwender gelegentlich die dunkle Ahnung, dass hier mehr als nur die notwendigen Daten ausgelesen werden. Ein sehr gutes Beispiel ist Angry Birds: Es ist nicht nachvollziehbar, warum die App auf dem Android-Gerät den GPS-Standort und die auf jedem Gerät eindeutige IMEI-Nummer (International Mobile Equipment Identity) benötigt.

Ferner ist das harmloses Spielchen Mitglied in sechs Werbenetzen, die alle ganz unverblümt das Nutzerverhalten der Anwender ausspionieren. Apps, die wie Angry Bird die IMEI-Nummer auslesen wollen, sind immer kritisch in punkto Privatsphäre, denn der IMEI-Code ist eindeutig und über den Provider einer bestimmten Person zugeordnet. Gerade bei kleinen Apps kann das nur einen Grund haben: Datenschnüffeln.

software, apps, handy

© Hersteller/Archiv

Brightest Taschenlampe - Hell soll sie sein. Für diesen Zweck ist es vielleicht noch nachvollziehbar, dass die App, die Kamera und damit den Blitz auslösen dürfen soll. Aber wozu braucht eine Taschenlampe GPS-Informationen oder gar die eindeutige IMEI-Nummer?

Denn so ist die Person eindeutig identifizierbar. Aber auch die großen, vernetzten Apps kämen gut ohne IMEI aus, da der Anwender sich ja zum Authentifizieren sowieso einloggen muss. Es liegt also nahe, dass die Betreiber an Nutzerprofilen interessiert sind. Es ist kein Geheimnis, dass die werbetreibende Industrie von eben diesen Nutzerdaten lebt. Und je besser ein Werbetreibender seine Nutzer kennt, desto besser kann es diesen für gezielte Werbung adressieren und vermarkten.

Dieses Verhalten wird im Internet schon lange massiv von Surfern und passenden Browser-Erweiterungen bekämpft, auf dem Smartphone akzeptieren viele jedoch das Ausschnüffeln ihrer Privatsphäre. Vielfach auch aus Unwissen: Die Einwilligung hat man meist schon global bei der Anmeldung zum App-Store gegeben - wer diese widerrufen will, muss gezielt und aktiv widersprechen (Opt-Out-Verfahren).

So finden Sie Schnüffel-Apps 

software, apps, handy

© Hersteller/Archiv

Bild - Der Handy-Besitzer will Nachrichten lesen, Bild speichert aber auch seinen Aufenthaltsort, will eigenständig SMS versenden, kennt die IMEI-Nummer und kann selbsttätig eine WLAN-Verbindung einschalten. Ganz im Gegensatz zur App der Zeitung Welt aus dem gleichen Verlagshaus, die deutlich weniger schnüffelt.

Ein Tool, das sich der zunehmenden Spyware-Problematik speziell bei Android-Handys angenommen hat, kommt vom mobilen Sicherheitsspezialisten Lookout: Ad Network Detector. Es kennt die größten 35 Werbenetzwerke, die im Smartphone-Bereich aktiv sind und findet deren Komponenten in den Apps. Der Anwender startet einen Scan und erhält eine Liste an Spionagefunktionen, die auf dem Handy aktiv sind sowie die Anzahl der Apps, die jeweils betroffen sind.

Meist finden sich Einträge in der Sparte Collect device or mobile network information. Öffnet der Anwender dann die dazugehörige Liste, so sieht er die dort aktiven Werbenetze. Öffnet er nun ein solches, so sieht er, welche Apps sich dieses Netzes bedienen. Außerdem beschreibt Lookout genau, wie das Netz funktioniert und welche Daten es sammelt.

Nutzen Sie die Opt-Out-Funktion

software, apps, handy

© Hersteller/Archiv

Kalorienzähler von Fat - Secret "Ein einfaches Hilfsprogramm", so heißt der erste Satz der Beschreibung von dieser App. Wenn man die Liste der Berechtigungen ansieht, würde man etwas anderes erwarten: IMEI-Nummer, Standort per GPS und sogar Kameraaufnahmen möchte die App machen. Wozu?

Im Gegensatz zu geplagten iPhone-Benutzern bieten viele Werbenetze auf Andorid-Handys mittlerweile aber inzwischen eine Opt-Out-Funktion, die sich direkt über die Netzbeschreibung in Lookout anwählen lässt. Klickt der Anwender auf ein Opt-Out, so bekommt er zwar weiterhin Werbung, aber sein Nutzerverhalten wird nicht mehr ausgewertet.

Eine Einschränkung gilt für das Sicherheits-Tool von Lookout: Der Ad Network Detector findet schnüffelnde Werbe-Module, aber nicht die Komponenten, die Informationen an den App-Hersteller selbst schicken. Die erschließen sich indirekt nur aus der Rechteliste.

Häufig wird nicht nur ein Werbenetz bedient

software, apps, handy

© Hersteller/Archiv

Angry Birds - Plappernd wie ein Papagei ist nicht nur das Geschwätz der Geschossvögel in Angry Bird, sondern auch die Spionagefunktionen in der App. GPS und IMEI-Nummer werden ohne Grund abgefragt, außerdem gibt's Zugriff auf sechs Werbenetze, die den Anwender datentechnisch aussaugen.

Und noch etwas macht das vollständige Ausmerzen der Schnüffelbestandteile von Apps schwierig: Einige Programme verwenden Werbung aus mehreren Netzen. Angry Birds verwendet beispielsweise JumpTab, InMobi, AdMob, Millenial, Burstly und GreyStripe. All diese Werbetreibenden spionieren das Nutzerverhalten aus und erhalten beispielsweise so die GPS-Positionen und IMEI-Nummern der Anwender - da macht das Vögelballern gleich viel weniger Spaß.

Einer der der größten dieser Werbeverbünde, AdMob, gehört übrigens zum Google-Imperium. Der Konzern hat es 2009 für 750 Millionen Dollar gekauft, zu diesem Zeitpunkt war die Firma drei Jahre alt - ein enormer Wertzuwachs. AdMob liefert Werbung für alle mobilen Plattformen und auch für mobile Browser. Es bedient 300.000 Apps in 350 Millionen mobilen Geräten. Dabei liefert es mehr als eine Milliarde Anzeigen pro Monat aus (Zahlen von Adweek).

software, apps, handy

© Hersteller/Archiv

Finger Furz - Ein Handy mit Blähungen... Wie lustig...!? Gar nicht mehr lustig sind aber die digitalen Schnüffelfunktionen der App: GPS-Standort, Audio aufnehmen (und nicht nur abspielen), IMEI-Nummer und mit dem Handy booten.

Und es gibt einen Synergieeffekt: Googles Werbekunden können mobile Anzeigen gleich über Adwords schalten. Dass Admob zu Google gehört, hat für Android-Phone-Besitzer sogar einen Vorteil: Die Nutzerprofilierung durch dieses Netz lässt sich im App-Markt Google Play abschalten (Einstellungen/Google AdMob-Anzeigen). Es bleibt jedoch eines der Hauptprobleme im mobilen Bereich, dass der Anwender einer App nicht einzelne Rechte absprechen kann - es gibt nur "alles oder nichts".

So wird die Kröte Usertracking doch nur all zu oft geschluckt, wenn man eine bestimmte Funktionalität installieren möchte und keine Alternative hat. Es ginge aber auch besser, wie Facebook es zumindest bei seinem Webdienst nach öffentlichen Druck vorgemacht hat: Wer eine Anwendung installiert, kann einzelne Rechte deaktivieren. Eine ähnliche, allgemein gültige Regelung wäre für Android, iPhone und Co. wünschenswert - auch ohne Druck.

App-Alarm: So erkennen Sie Schnüffel-Programme

  • Kommentare lesen: Wenn etwas mit einer App nicht stimmt, finden sich schnell entsprechende Kommentare im App-Store.
  • Rechte genau prüfen: Lesen Sie sich die Rechte genau durch, die eine App einfordert. Oft gibt es einen Alle-Anzeigen-Button, der weitere Punkte oder Details aufklappt. Hier wird es dann interessant: Flickr benötigt beispielsweise viele Rechte: Kontakte, um Fotos zu versenden, oder Ihre Positionsdaten per GPS, um den Aufnahmeort der Bilder zu bestimmen. Gleiches will auch so manches Taschenlampen-App erfahren. Warum eigentlich? Deshalb gilt: Wenn es für das Funktionieren einer Anwendung nicht nötig ist, lassen Sie von solchen Apps besser die Finger.
  • Vorsicht IMEI -Nummer: Neben den Kontakten ist die International-Mobile-Equipment-Identity-Nummer (IMEI-Nummer) das Persönlichste, was sich auf dem Handy findet. Denn sie ist eindeutig und über den Provider Ihrer Person zugeordnet. Will eine App darauf zugreifen, was leider oft der Fall ist, so wissen Sie, dass Sie der Firma gegenüber als Identität, wenn auch nicht mit Namen, bekannt sind. Bei Android heißt das entsprechende Recht: Telefonstatus lesen und identifizieren.
  • Widersprechen: Nutzen Sie die Möglichkeit, der nutzerbezogenen Werbung zu widersprechen. Das Tool Ad Network Detector findet Werbenetze auf Ihrem Handy, analysiert sie und hilft Ihnen beim Einlegen des Widerspruchs im Opt-Out-Verfahren.

Download: Tabelle

Mehr zum Thema

SSD: Optimale Windows 7-Einstellungen
SSD Einstellungen

Wir geben wertvolle Tipps, wie Sie Ihrer SSD unter Windows 7 zu noch mehr Leistung verhelfen und außerdem deren Lebensdauer verlängern.
Wir zeigen, wie Sie den Raspberry Pi für Multiboot einrichten.
Raspberry Pi Multiboot

Zum Experimentieren Raspbian, für den TV-Spaß XBMC mittels Raspmbc - das klappt dank unseres Multiboot-Workshops für den Mini-PC Raspberry Pi.
So streamen Sie das TV-Programm per NAS auf Ihr Mobilgerät
Tvheadend am NAS

Mit TVheadend können Sie Fernsehen etwa via DVB-T vom NAS auf Smartphones und Tablets streamen. In diesem Tutorial zeigen wir, wie das geht.
Wir zeigen, wie Sie die SD-Karte Ihres Mini-PCs klonen.
SD-Card-Backup

Wir zeigen, wie Sie die SD-Karte Ihres Raspberry Pi klonen können, damit Sie eine Backup-Kopie Ihres RPi-Systems haben.
USB-SSD Verbatim Vx450 External SSD
SSD-Tuning

Wir geben fünf Tipps für Abelssoft SSD Fresh 2015. Damit unternehmen Sie perfektes SSD-Tuning für mehr Lebenszeit und bessere Performance.