Fraunhofer AISEC: 9 von 10 Android-Apps benötigen eine Internetverbindung
10.000 der beliebtesten Android-Apps haben Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) auf Sicherheit untersucht. Die Untersuchunegn wurden mit App-Ray durchgeführt, ein vollautomatisches Tool, das anzeigt, was Android-Apps so an Daten vom Smartphone oder Tablet sammeln und diese dann auch an Server verschicken. Dass Apps eine Internetverbindung benötigen, ist keine Seltenheit. Über 9.000 der getesteten Apps verlangen nach einer Verbindung ins Internet, wofür verrät allerdings keine. Das wird vom Nutzer bereits während der Installation erlaubt und ist in vielen Fällen nicht weiter schlimm.
Rund 7.000 der Apps schicken Daten unverschlüsselt auf die Reise. Darunter auch persönliche Informationen wie beispielsweise die IMEI des verwendeten Geräts (in 448 Fällen). Die Daten der Apps landen auf 4.358 Servern, die auf der ganzen Welt verteilt sind. Fast die Hälfte der Apps sammelt zudem den Standort des Nutzers.
Ein weiteres Risiko sind schlecht programmierte Apps. So geben 26% der Apps vor, eine sichere Verbindung ins Internet aufzubauen, obwohl dies gar nicht der Fall ist. Die Überprüfung des Serverzertifikats wird in diesen Fällen einfach deaktiviert. Solche Verbindungen sind dann laut Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC, leicht angreifbar.
1732 der getesteten Apps klinken sich zudem automatisch in den Startvorgang ein und laufen permanent im Hintegrund, auch wenn man die App nicht aktiv nutzt. Vielleicht sollte man doch einmal ein wenig öfter nachschauen, ob man bestimmte Apps noch benötigt und diese dann gegebenfalls löschen. Ob man durch so eine Analyse allerdings wirklich Gefahren einer App erkennen kann, ist fraglich. Nur weil eine App eine Internetverbindung aufbaut oder den Standort an einen Server sendet, heißt das ja nicht automatisch, dass diese auch missbraucht werden. Oftmals spielt auch Werbung eine große Rolle, die sowohl eine Internetverbindung, als auch häufig den Standort des Nutzers benötigt, um passend ausgeliefert werden zu können.
Für mich das Hauptproblem, es gibt meines Wissens nach keine App, die es einfach macht, bestimmte Internetverbindungen zu gestatten andere jedoch zu blockieren. Das geht zwar mit Custom Rules bei z.B. AFW, aber etwas was beim Verbindungsaufbau fragt „Verbindung zu IP/Domain: xxx – zulassen – ja/nein“ gibt’s nicht.
Ansonsten, wer nicht rootet und keine Apps ala Xprivacy oder LBE nutzt, kann sich nie sicher sein, was passiert. Viele verlassen sich auf AV-Produkte, obwohl die im Android-Umfeld per Definition halt nicht funktionieren können :/
Dumm das ich auf Android zu allen Rechten ja sagen muss. Auf iOS kann ich wenigstens verweigern was ich will und trotzdem die App nutzen.
mit canogenmod geht das meines Wissens auch.
Nur ich behaupte einmal das 95% der User damit völlig überfordert ist.
Ich beobachte das bei meinem Arbeitskollegen der gern den Apps die Rechte entzieht.
Bis er dann merkt dass das ein oder andere Recht doch recht nützlich ist.
Dann erteilt er die Rechte.
Wenn ich dann sehe wie viel Zeit er damit verbringt muss man sich schon fragen was einem wichtiger ist, Komfort oder Sicherheit.
Viel schöner wäre es wenn es so eine Art App Tüv gäbe der so etwas genauer prüft.
@Andy: Aber auch nicht alles. Es ist zB. schon vorgekommen, dass iOS-Apps Telefonbücher geklaut haben.
Ein Großteil dieser hier genannten Apps benötigen Internet für die Werbung. Da ist klar das Google dieses Recht nicht entziehen kann. Genauso mit dem Systemstart, wenn man ein Widget möchte, sollte die Apps wohl Daten bereit stellen dürfen usw. Dann startet sich eine App kurz und schließt sich, damit sie einen Platz im RAM hat und dann schneller gestartet werden kann.
Für mich ist so eine Studie eher Panikmache. Eine genauere Untersuchung, welche Apps usw. ist eigentlich nötig.