App-Ray-Programm: so unsicher sind Android Apps
Kommentare

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben mit dem selbstentwickelten Programm App-Ray die 10.000 beliebtesten Android-Apps untersucht.

Die Ergebnisse sind nicht unerwartet allerdings trotzdem ernüchternd.

App-Ray ermöglicht für Unternehmen eine vollautomatische Analyse und Einschätzung der Sicherheit von Android-Apps, nach selbst definierten Untersuchungskriterien.

Laut dem AISEC fordern 91 Prozent der 10.000 beliebtesten Android-Apps beispielsweise Rechte für den Aufbau einer Internetverbindung ein. Dabei ist eine Internetverbindung nicht bei allen Apps tatsächlich notwendig.

Die Forscher fanden ausserdem heraus, dass viele der untersuchten Apps nach der Installation die Internetverindung nutzen, um ungefragt persönliche Daten zu senden. So können zum Beispiel bei 448 der getesteten Apps die IMEI des Gerätes übertragen werden. Die Hälfte der Apps bestimmen außerdem den Gerätestandort. Bei 3930 Apps wird der Gerätestatus ausgelesen und kann über das Internet übertragen werden.

App-Ray: 10000 Apps und eine Menge Sorgen

Bildquelle: Screenshot http://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Publikationen…

Dass Apps zu viele Berechtigungen verlangen und der Datenschutz der Nutzer mit Füßen getreten wird, ist nicht wirklich eine neue Erkenntnis. Dass aber ganze 70 Prozent (69 Prozent) der getesteten Apps die Daten gänzlich unverschlüsselt ins Netz übertragen, ist mehr als erschreckend. Zwar gaukeln laut Frauenhofer 26 Prozent der Anwendungen eine sichere SSL-Verbindung vor, da die Prüfung des Serverzertifikats allerdings explizit abgeschaltet ist, sind diese Verbindungen ebenfalls sehr leicht angreifbar.

Beinahe die Hälfte der untersuchten Apps starten zudem automatisch beim Einschalten des Gerätes und laufen permanent im Hintergrund. Dadurch könne man sich letztendlich nie sicher sein, welche App gerade welche sensiblen Daten an irgendwelche Server in der ganzen Welt überträgt.

Was die App mit den Permissions genau macht, bleibt offen,

betont Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer AISEC.

Der Test des Frauenhofer AISEC stellte insgesamt Datenübertragungen an 4358 Server in der ganzen Welt fest. Und dies ohne Wissen und explizitem Zutun des Nutzers. Denn nur in den wenigsten Fällen hat der Nutzer tatsächlich Einflussmöglichkeiten.

Leider wurde seit dem Test des AISEC keine Liste der Apps nachgeliefert, die als gefährlich eingestuft wurden. So reiht sich diese Nachricht wohl ein in die große Reihe der Datenschutz- und Privatsphäre-Debatten rund um das Thema Mobile. Denn dass nicht ausschließlich Android-User bedroht sind, sollte wohl jedem klar sein.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -