Mediatest digital | | von Annette Mattgey

Apps: Wo die Sicherheitslücken lauern

Whatsapp ist nicht die einzige Anwendung mit Sicherheitslücken. Mediatest Digital testete fünf beliebte Apps wie Shazam und Quizduell und fand eklatante Mängel.

1. Shazam (Version 7.4.1, iOS)

Die Musikerkennungssoftware ist auf vielen Smartphones installiert: Neben der Erkennung von Songs identifiziert die App unerlaubt aber auch die Geräte-IDs wie etwa die Seriennummer der Netzwerkkarte (IMEI) und die Mac-Adresse, das Nummernschild der Netzwerkkarte, und überträgt diese an Dritte. Dies ermöglicht Außenstehenden die Wiedererkennung der Anwender und vereinfacht das Nutzertracking. Zusätzlich macht die Übertragung der Daten Angreifern die Implementierung spezieller Schadsoftware möglich, die sich auf den identifizierten Geräten entfalten kann. Auch die Standortdaten des Anwenders werden von Shazam in hoher Frequenz verschlüsselt übertragen.

Warum es für eine Musikerkennung notwendig ist, Geodaten abzufragen, bleibt rätselhaft. Die Daten werden unverschlüsselt an Werbenetzwerke und weitere Empfänger gegeben. Die IDFA (Identifier for Advertisers), eine spezielle Identifikationsnummer aus iOS 6, mit der die Gewohnheiten von iPhone- und iPad-Nutzern beobachtet und ihnen passende Werbung serviert werden kann, wird ebenfalls übertragen.

2. Quizduell (Version 1.3.2, Android)

Seit dem Sommer vergangenen Jahres erfreut sich die Frage-und-Antwort-App steigender Beliebtheit: Allerdings werden neben den Antworten der Spieler auch sogenannte Hash-Werte, eine verschleierte Form der IMEI-Adresse und weitere eindeutige IDs unverschlüsselt an ein Werbe-Netzwerk übertragen. Benutzernamen werden ebenfalls unverschlüsselt übertragen. Mit diesen Daten kann ein genaues Profil des Spielers erstellt und dieser wiedererkannt und ausspioniert werden. Auch beim Quizduell ergibt sich also die bei Shazam beschriebene Tracking- und Profiling-Problematik.

3. Eurosport (Version 3.7.1, Android)

Sie gilt als die Referenz bei den Sport-Apps und leistet doch mehr, als nur über Sportergebnisse zu berichten: Die Eurosport App überträgt den Benutzernamen und das Passwort des Anwenders unverschlüsselt. Außerdem werden die Android-ID, IMEI und WLAN Mac zwar verschlüsselt, aber ohne Zustimmung des Nutzers an ein Werbenetzwerk übertragen. Die unverschlüsselte Weitergabe von Benutzernamen und Passwörtern stellt für viele App-User ein großes Problem dar. Nicht selten kommt es vor, dass Anwender dieselben Zugangsdaten für verschiedene Profile und Accounts im Internet verwenden. So kann ein Angreifer mit diesen Daten diverse Accounts der Nutzer übernehmen.

4. Hotel.de (Version 2.1, iOS)

Das Buchungsportal aus der Kategorie Reisen nutzt die ihm anvertrauten Daten gleich doppelt: Neben der Erstellung von Angeboten werden die gesamten Buchungsdetails unverschlüsselt übertragen. Die ungeschützte Übermittlung personenbezogener Daten stellt grundsätzlich ein Problem für die Nutzer dar: Datensammler und Angreifer können Nutzerprofile erstellen und diese für verschiedene Aktivitäten nutzen. Hinzu kommt der Fakt, dass eine solche Datenverarbeitung nicht konform mit dem Bundesdatenschutzgesetz (BDSG) ist.

5. The Wall Street Journal (Version 2.4.0, Android)

Die Nachrichten-App, die selbst über die spektakulären Datenskandale von NSA und Whatsapp berichtet hat, nutzt die Daten ihrer Leser zur unverschlüsselten Weitergabe an ein Werbe-Netzwerk: Abgefischt werden hier die eindeutige Gerätekennung IMEI und die Android ID. Dadurch ergibt sich auch hier die bereits beschriebene Tracking- und Profiling-Problematik. Besonders fraglich ist dieses Verhalten, weil die eindeutige und unveränderbare IMEI-Adresse für Werbetracking-Zwecke nicht mehr benötigt wird. Google hat hierfür inzwischen die Android ID vorgesehen.   

Die identifizierten Gefahren der fünf Beispiele bilden einen repräsentativen Querschnitt der öffentlich zugänglichen Apps aller vier großen Betriebssysteme iOS, Android, WindowsPhone und BlackBerry OS. Das Testinstitut Mediatest Digital hat bis heute betriebssystemübergreifend mehr als 6.000 Apps und App-Versionen mithilfe eines multidimensionalen Analyseverfahren überprüft. Bei mehr als 50 Prozent der analysierten Apps stellten die Fachleute Sicherheitslücken und Schadprofile fest.

Apps: Wo die Sicherheitslücken lauern

Artikel bewerten

Vielen Dank, Ihre Bewertung wurde registriert!

Sie können leider nur einmal pro Seite bewerten.

Ihre Bewertung wurde geändert, vielen Dank!

Leserkommentar

Wir freuen uns über Ihre Kommentare.

* Pflichtfeld
** Pflichtfeld, wird nicht veröffentlicht