69 Prozent der beliebtesten Android-Apps funken im Klartext

Sicherheitsforscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben mit einer selbst entwickelten Software die 10.000 beliebtesten Android-Apps unter die Lupe genommen. Dabei kam heraus, dass 69 Prozent der Programme ihren Traffic unverschlüsselt in die Cloud funken. 26 Prozent nutzen zwar SSL-Verbindungen, diese sind aber anscheinend nicht sicher umgesetzt und unter Umständen angreifbar. Das Institut untersuchte die Android-Programme mit dem selbst entwickelten Tool App-Ray – hiermit lassen sich nach Aussage der Forscher Android-Apps vollautomatisch auf Sicherheitsprobleme prüfen.

Die weitaus meisten der getesteten Apps sichern sich bei der Installation das Recht zu, Internetverbindungen aufzubauen. Das ist nicht ungewöhnlich und für die meisten Zwecke auch ausdrücklich vom Nutzer gewollt. Laut den Forschern nutzen allerdings viele Apps diese Berechtigung, um schon beim Start des Programms ungefragt persönliche Informationen des Benutzers in die Cloud zu laden. Insgesamt konnten die Forscher Datenübetragungen an über 4000 Server in der ganzen Welt feststellen.

Das Rechtesystem von Android ist hier insofern problematisch, als dass der Nutzer nach pauschaler Erteilung der Internet-Rechte an die App nicht mehr feststellen kann, wofür diese genau verwendet werden. Und da viele Apps aus durchaus legitimen Gründen auch auf das Adressbuch des Nutzers zugreifen wollen, kann man dann auch nicht mehr ausschließen, dass diese Informationen an die Betreiber der App gesendet werden. Die Daten wandern oft aber auch in die Hände von Dritten – etwa zu Werbenetzwerken.

Die AISEC-Forscher entdeckten bei ihrem Test 448 Apps, die Daten hochluden, mit denen das Gerät des Nutzers eindeutig identifizierbar war (etwa die IMEI-Nummer). 49 Prozent der getesteten Apps sicherten sich das Recht zu, den genauen Standort des Geräts zu ermitteln. (fab)