Undichte Apps

Zahlreiche Smartphone-Anwendungen sammeln sensible Daten und leiten diese weiter – manchmal sogar ohne das Wissen ihrer Programmierer.

Eine Untersuchung von Programmen für die Plattformen iPhone und Android hat ergeben, dass erstaunlich viele Apps ohne Wissen ihrer Nutzer Daten sammeln und diese potenziell ins Internet übertragen können.

Das "App Genome Project" (AGP), das von dem Sicherheitsunternehmen Lookout gestartet wurde, analysierte dazu fast jede Anwendung, die über Apples "App Store" und Googles "Android Market" erhältlich ist. Entwickler müssen in beiden Fällen gegenüber dem Vertreiber angeben, was ihre Software konkret tut. Während Google Anwendungen normalerweise ohne weitere Prüfung durchwinkt, führt Apple zusätzlich einen eigenen Review-Prozess durch.

Lookout scannte für seine Studie mehr als 300.000 mobile Anwendungen. Bei einem Drittel davon wurde ein detaillierter Check vorgenommen. Dabei kam heraus, dass viele Entwickler in der Beschreibung ihrer App keinen Hinweis darauf gaben, welche Daten gesammelt wurden. Allerdings muss das nicht immer willentlich geschehen. "Programmierer nutzen nämlich häufig Software-Komponenten von Drittherstellern, ohne dass sie das Verhalten dieses Codes zuvor selbst analysieren", so die Lookout-Forscher.

Eine signifikante Anzahl der untersuchten Anwendungen enthielt Funktionen, die der Entwickler zuvor nicht offengelegt hatte. Beispielsweise versuchte ein Drittel aller freien iPhone-Anwendungen, den geografischen Ort des Nutzers abzufragen (das muss von diesem zuvor allerdings explizit bestätigt werden). Auf der Android-Plattform griffen rund 29 Prozent der freien Apps auf Ortsdaten zu. Mindestens 8 Prozent der kostenlosen Android-Anwendungen und 14 Prozent der kostenlosen iPhone-Programme versuchten außerdem, auf die Kontaktliste des Nutzers zuzugreifen. Sowohl das iPhone-Betriebssystem als auch Android haben zwar Warnmeldungen eingebaut, doch seien die nicht besonders genau, heißt es in der Lookout-Studie weiter. Außerdem werde fast nie angegeben, an welche Partei abgefragte Informationen dann konkret gingen.

Die Forscher entdeckten außerdem eine Android-Anwendung, die vorgab, nur ein netter Bildschirmhintergrund-Wechsler zu sein, gleichzeitig aber auch die Telefonnummer des Handys und andere nutzerspezifische Daten sammelte. Das Programm enthielt Routinen, um diese Infos dann an einen Server in China zu schicken.

"Mobile Anwendungen machen viele Dinge, die den Nutzern nicht bewusst sind", fasst Lookout-Chef John Hering zusammen. Hinzu komme, dass Software-Komponenten von Drittherstellern oft Informationen sammelten, ohne die Entwickler selbst zu warnen. "Endanwender und Entwickler wissen erstaunlich oft nicht, was in den Anwendungen abläuft, die sie nutzen oder schreiben."

Besonders dieses Problem ist nicht klein: Das App Genome Project fand heraus, dass bei 47 Prozent aller Android-Anwendungen und 23 Prozent aller freien iPhone-Programme teilweise Code von Drittherstellern verwendet werden. Diese sogenannten Anwendungs-Frameworks machen es Programmierern leichter, eine App herzustellen, bringen aber nicht selten unbeabsichtigte Konsequenzen mit sich. "Ein großer Teil der von uns ermittelten Datenlecks kommt zustande, weil ein Framework installiert wurde – und nicht, weil ein Programmierer das Leck geplant hätte", meint Hering.

Trevor Hawthorn, leitender Angestellter beim Software-Sicherheitsspezialisten Stratum Security, meint, dass viele Entwickler gar nicht wüssten, wie sie solche Dritthersteller-Frameworks auf Gefahren abchecken könnten. Der Experte kennt Beispiele, bei denen Datenschützern die Haare zu Berge stehen dürften: So existiert ein Framework für Smartphone-Spiele, mit dem sich gleichzeitig die Position des Nutzers über eine ganze Stadt oder ein ganzes Land hinaus verfolgen lässt. "Wenn Entwickler Code von Drittherstellern in ihre Software integrieren, wird dieser Code meistens nicht auf Sicherheit überprüft." Das sei auch Angreifern längst bekannt.

Bei Lookout glaubt man deshalb, dass es bald erste Datenschädlinge geben wird, die es spezifisch auf Sicherheitslücken in Anwendungs-Frameworks abgesehen haben. Diese könnten einem Angreifer dann erlauben, ein Smartphone zu übernehmen. "Apple und Google machen einen sehr guten Job, wenn es darum geht, ihre Plattformen sicher zu halten. Doch das gilt eben nicht für Lücken, die Programmierer durch Entwicklungsumgebungen Dritter einführen." (Tatsächlich versucht Apple hier, das Risiko möglichst klein zu halten – und verbietet beispielsweise die Nutzung sogenannter Cross-Compiler, mit denen man Programme von anderen Plattformen auf das iPhone holen kann.)

Lücken können zudem relativ lange bestehen bleiben, weil stets zwei Schritte notwendig sind: Erstens muss der Hersteller eines Frameworks das Problem beseitigen und zweitens der App-Programmierer diese neue Version dann auch nutzen. "Wir kennen das noch aus der Anfangszeit des Netzes und als Dateitauschbörsen oder soziale Netzwerke populär wurden: Erst wenn Sicherheitsforscher sich intensiv mit neuen Plattformen beschäftigen, erkennt man ihre tatsächlichen Auswirkungen auf Datenschutz und IT-Security." (bsc)