Mobile Security

Bitdefender Clueful identifiziert verdächtige Android-Apps

05.06.2013
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Vom Senden unverschlüsselter Passwörter bis hin zu Geräte-IDs und E-Mail-Adressen – einige Apps sammeln deutlich mehr Daten als wirklich notwendig. Die App „Clueful für Android“ von Bitdefender analysiert die von Anwendern heruntergeladenen Apps und gibt Hinweise, wie diese mit persönlichen und sensiblen Daten der User umgehen.

Wenn Du für etwas nicht bezahlen musst, bist Du nicht der Kunde, sondern das Produkt. Diese weisen Worte sollten (unter anderem) Android-Nutzer im Hinterkopf behalten, wenn sie Apps im Web oder vom Google Play Store für lau auf ihr Smartphone oder Tablet laden wollen. Soviel zur Theorie, in der Praxis denkt kaum jemand länger darüber nach, ob die eingeforderten Zugriffsberechtigungen notwendig sind oder doch etwas zu weit gehen. Hier springt die App „Clueful Privacy Advisor “ von Bitdefender ein: Sie analysiert die von Anwendern heruntergeladenen oder bereits vorhandenen Apps und gibt Hinweise, wie diese mit persönlichen und sensiblen Daten der User umgehen und inwiefern sie ein Datenschutzrisiko darstellen können. Auf Basis dieser Informationen können die Anwender dann entscheiden, ob sie eine App deinstallieren oder nicht.

Je nach dem - potenziellen – Gefährungspotenzial teilt Bitdefender Clueful die Programme zunächst in „Hochriskante Apps“, „Moderate-Risiko-Apps“ und „Geringe Risiko-Apps“ ein. In einem zweiten Schritt kann man sich dann im Detail anzeigen lassen, welche konkreten Bedrohungen für die Privatsphäre von einer konkreten App ausgehen. Eher harmlos wird dabei bewertet, wenn sich eine App mit dem Internet und Social-Media-Diensten (z.B. Facebook) verbindet.

Ein moderates Privatsphärenrisiko stellt Clueful fest, wenn die App den Standort über das Web weiterleitet, Kontakte und andere sensible Daten (z.B. Geräte-ID) ausliest oder Passwörter unverschlüsselt sendet. Leider schafft es Clueful hier nicht, zu differenzieren, ob eine App bestimmte Berechtigungen wirklich benötigt oder nicht. So ist es etwa essentiell für die Funktionalität von Skype, Anrufe durchführen zu dürfen.

Relativ klar ist dagegen die Sache bei von Clueful als hochriskant eingestuften Apps: Von diesen sollte man wirklich möglichst die Finger lassen, da sie etwa die Telefonnummer auslesen und an Werbenetzwerke senden, die Benachrichtigungsleiste „zuspammen“ oder sogar eigenmächtig neue Icons auf dem Homescreen platzieren. Praktischerweise kann man derart faule Apps gleich vor Ort deinstallieren oder über verschiedene Kanäle Freunde auf das Gefahrenpotenzial aufmerksam machen. Eine nachträgliche Einschränkung der Rechte einer App ist leider nicht möglich, dies funktioniert bei Android in der Regel nur mit einem gerooteten Gerät und speziellen Anwendungen. Super-Frickler können außerdem mit LBE Security Master experimentieren – das chinesische Original befindet sich im Google Play Store, eine übersetzte Version findet sich bei XDA Developers.

Last, but not least gewährt Clueful mit dem Privacy Score noch eine eher allgemeine Einschätzung, wie stark die Privatsphäre auf dem Gerät geschützt ist. Je niedriger der Wert, desto höher die Wahrscheinlichkeit, dass installierte Anwendungen versuchen, private Daten zu ergattern.

Zu Risiken und Nebenwirkungen...

Bleibt zum Abschluss die Frage, was für Absichten Bitdefender mit der - immerhin kostenlosen - App verfolgt. So ist es auffällig, dass der Clueful Privacy Advisor selbst Daten sammelt. Dazu gehören – so der Disclaimer in schlecht übersetzten Deutsch (Google Übersetzer?) – auch „generelle, statistische Informationen zur Produktanalyse und zur Steigerung der Funktionalität.“ Das Sammeln dieser Informationen sei nötig, erklärt Bitdefender weiter, „um die Funktionalität der Bitdefender-Produkte zu verbessern.“

Der Sicherheitsspezialist weist außerdem darauf hin, dass die gesammelten Informationen eventuell an die Bitdefender-Gruppe in den USA und in anderen Ländern weitergegeben werden, in denen eventuell weniger strenge Datenschutzgesetze als an Ihrem Wohnort gelten Bitdefender versichert aber immerhin, man habe Maßnahmen getroffen, um die Informationen auch nach einer Weitergabe wie oben beschrieben weiter zu schützen. Nichtsdestotrotz behält sich das Unternehmen das Recht vor, „bei rechtlichen oder anderen Untersuchungen von Seiten einer Regierung oder polizeilichen Stelle, die mit Ihrer Verwendung dieser Software und Dienstleistung in Verbindung stehen, mitzuwirken.“

Auch wenn dahinter wohl kaum mehr als etwas Marktforschung von Bitdefender und die Materialsammlung für eine neue Studie zur mobilen Sicherheit stecken mag – es wird wieder einmal klar, wie wichtig es ist, den „Beipackzettel“ zu lesen und Vorsicht bei kostenlosen Produkten und Dienstleistungen zu bewahren. Denn wie bereits zu Anfang beschrieben: Wenn Du für etwas nicht bezahlen musst, bist Du nicht der Kunde, sondern das Produkt.