Laut einer aktuellen Datenerhebung des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit stellen mehr als 9.000 der 10.000 beliebtesten Android-Apps aus dem Google Play Store eine Verbindung zum Internet her. Und das, obwohl viele der kleinen Anwendungen für ihren Funktionsumfang theoretisch gar keinen Internet-Zugriff benötigten, wie beispielsweise Taschenlampen-Apps. Davon nutzt ein Großteil der Apps diesen Zugang, um beim ersten Start ungefragt persönliche Daten an einen der 4.358 ermittelten auf der Welt verstreuten Server zu senden. Kritisch sehen die Sicherheitsexperten unter anderem die Tatsache, dass nach der Installation einer solchen App in der Regel keine Auskunft darüber getroffen werden kann, welche Daten des Nutzers wohin geschickt werden.
Des Weiteren haben die Forscher ermitteln können, dass knapp 70 Prozent der getesteten Apps keine Verschlüsselung bei der Datenübertragung verwenden. Ein Viertel der Anwendungen gaukeln dem Nutzer zwar eine sichere Datenverbindung vor, deaktivieren allerdings die Prüfung der Serverzertifikate und sind damit nicht vor Angriffen geschützt. Knapp die Hälfte der Test-Apps sendet den Standort des Nutzers an fremde Server, während immerhin noch 3.930 Apps den Gerätestatus auslesen können und 448 Apps die eindeutige IMEI-Nummer versenden. Problematisch ist die mit 1.732 Fällen recht hohe Anzahl solcher Anwendungen, die direkt mit dem Gerät gestartet werden - gegen den ungewollten Datenversand lässt sich so nicht mehr viel unternehmen.
Foto: Fraunhofer Aisec
Gegen den Versand der persönlichen Informationen über eine App lässt sich aktuell leider nur wenig tun. Lediglich der Verzicht auf die Installation einer solchen Anwendung kann die Daten vor einem möglichen Missbrauch schützen. Separate Anwendungen wie SRT AppGuard oder die Verwendung einer mit speziellen Sicherheits-Funktionen ausgestatteten Custom-Firmware können dabei helfen, die Zugriffsrechte der Apps zu verwalten und möglicherweise einzuschränken.