US-Unternehmen warnt vor unsicheren Smartphone-Apps

iPhone-Apps unsicherer als Android?

23.10.2014
Von 
Jürgen Hill ist Chefreporter Future Technologies. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 

Mit Big Data zum gläsernen User

Besonders begehrt sind Standortpositionen sowie die eindeutige Benutzerkennung.
Besonders begehrt sind Standortpositionen sowie die eindeutige Benutzerkennung.
Foto: Appthority

Die eigentliche Gefahr für die Unternehmen und ihre Mitarbeiter gehe vielmehr von Apps aus, wobei der User häufig nicht wisse, welche Daten wohin übertragen werden. Und für die blauäugigen Anhänger der "Ich habe ja nichts zu verbergen"-Fraktion hat man bei dem 2011 gegründeten Security-Unternehmen gleich einige drastische Beispiele parat, wie aus scheinbar harmlosen Daten Sicherheitsprobleme entstehen: Was passiert etwa, wenn Einbrecherbanden Location-Tracking-Daten kaufen und so wissen, dass die eigene Wohnung leer steht? Oder wollen Mitarbeiter, dass ihr Arbeitgeber per Location Tracking erfährt, dass sie den Hauptsitz des Konkurrenten besuchten, um sich zu bewerben?

Ebenso entpuppt sich der Zugriff auf das Adressbuch schnell als Risiko, wenn etwa Geschäftskontakte in den Besitz der Konkurrenz gelangen. Zudem werden diese Daten immer mehr zum Versand von Corporate Spam missbraucht, denn durch das Auslesen der Adressbücher gelangen die Ad-Networks in den Besitz kompletter Kontaktdaten inklusive Berufsbezeichnung, Telefonnummer etc. Kombiniert mit den Daten aus dem Kalender, der ungefragt übertragenen IMEI oder UDID lassen sich so schnell komplette Benutzerprofile generieren - Big Data lässt grüßen.

US-Unternehmen warnt vor unsicheren Smartphone-Apps
US-Unternehmen warnt vor unsicheren Smartphone-Apps
Foto: Oleksiy Mark, Fotolia.com

So werden Sie ausgespäht

Erschwerend kommt hinzu, dass fast nicht zu kontrollieren ist, wohin die von den Apps gesammelten Daten gehen. Auf der Hand liegen noch Ad-Networks und Daten-Broker. Doch auch die Social Networks sammeln zunehmend mit Hilfe von Apps Daten, wenn etwa mit einem Single SignOn die gelichzeitige Anmeldung im sozialen Netz und bei der App erfolgt. Ein anderer Datenaggregator, so warnt Appthority, sind Analytics Frameworks wie etwa Google Analytics. Diesen werde oft der Zugriff auf die Daten gewährt, wenn App-Entwickler zur Programmierung auf kostenlose SDKs zurückgreifen. Laut der Studie sind etliche populäre SDKs gleichzeitig auch Analytics Frameworks mit eingebauten Routinen zum Sammeln der User-Daten. Eine weitere Datenkrake, die ungefragt Informationen abgreift, können SDKs für Crash Reports sein.

Deren Einsatz nehme zu, da sich die Entwickler in einem zunehmend stärkeren Wettbewerb befänden und dieses Tools nutzten, um Performance und Stabilität ihrer Apps zu monitoren. Letztlich sollten sich App-Entwickler grundsätzlich überlegen, ob sie einfach auf Software-Routinen Dritter zurückgreifen, denn dies erhöhe die Gefahr, dass ihre Apps ein sicherheitskritisches Verhalten an den Tag legen. Ein weiteres Risiko sei, dass viele Apps Daten direkt in Public-Cloud-Speichern ablegen. Ein Unterfangen, das die Bemühen der IT-Abteilungen für einen sicheren Umgang mit Unternehmensdaten - etwa durch Unterbindung des Dropbox-Zugangs - konterkarriere.

Riskante kostenlose Apps

Unter dem Strich, so zumindest das Ergebnis des "Summer 2014 App Reputation Report" ist der Einsatz kostenloser Apps riskanter als der bezahlter Apps. Besonders häufig werden dabei ortsbezogene Daten gesammelt und weitergeleitet. Besonders beunruhigend ist zudem, wie oft die Apps die eindeutige Benutzerkennung der Geräte auslesen und verschicken. Auf der Android-Plattform sind das erschreckende 77 Prozent der untersuchten Apps.

Zur Beruhigung taugt das Ergebnis für iOS auch nicht. Dort versuchten 43 Prozent der Apps die eindeutige und einmalige Kennung auszulesen. Und dies, obwohl Apple seit iOS 6 Entwicklern den Zugriff auf die UDID untersagt. Ein Umstand, der Fragen an dem Qualitätssicherungsprozess aufkommen lässt, den ja jede App durchlaufen muss, bevor sie bei Apple im Store landet.