Schnüffelnde Android-Virenscanner: Avast verschlüsselt, AVG anonymisiert
Nachdem c't in ihrer aktuellen Ausgabe erhebliche Datenschutzprobleme bei Android-Virenscannern festgestellt hat, reagieren die Hersteller prompt – wenn auch auf völlig unterschiedliche Weise.
- Ronald Eikenberg
Nachdem c't in der aktuellen Ausgabe 6/14 über erhebliche Datenschutzprobleme bei Virenscannern für Android berichtet hat, kommt nun Bewegung in die Sache: Die Hersteller der beiden Produkte mit den größten Mängeln haben nachgebessert – auf völlig unterschiedliche Weise. Während Avast die Safe-Browsing-Abfragen künftig über HTTPS verschickt, verzichtet AVG auf die Übertragung von URL-Parametern.
Während wir den Datenverkehr von Viren-Scannern für Android analysierten, erlebten wir vor allem bei Avast und AVG böse Überraschungen: Als wir nach der Installation der Apps im Netz surften, übertrugen ihre Safe-Browsing-Module stets die vollständigen URLs der aufgerufenen Web-Seiten an ihren Hersteller – und zwar inklusive etwaiger URL-Parameter. Das ist problematisch, weil in den Parametern private Informationen wie etwa Passwörter oder Session-IDs stecken können.
Zudem beobachteten wir, dass die Safe-Browsing-Abfragen stets im Klartext durch die Leitung geschickt wurden – auch dann, wenn man auf HTTPS-Seiten unterwegs ist. Damit unterwanderten die Apps zum Teil die Verschlüsselung, weil ein Datenlauscher über die Klartext-Abfragen präsize darauf schließen kann, welche Unterseiten und Funktionen man aufruft. Normalerweise kann er bei HTTPS-Traffic lediglich erfahren, mit welchem Server man kommuniziert.
Spätestens wenn beides zusammen kommt, also HTTPS-URLs mitsamt Paramtern nicht nur an die Antivirenfirma geschickt werden, sondern von Datenschnüfflern (etwa im gleichen Netz) bequem im Klartext mitgeschnitten werden können, hat man ein echtes Problem. Das haben auch die Hersteller der betroffenen Apps eingesehen, als wir sie vorab mit unseren Testergebnissen konfrontierten. Sowohl Avast als auch AVG erklärten, dass man bereits an einer Lösung arbeite. Avast betonte gegenüber c't, dass es sich um ein Versehen gehandelt hat.
Tatsächlich haben beide Unternehmen etwas getan. Avast überträgt die Reputationsabfragen nun verschlüsselt über HTTPS, hält aber an den URL-Parametern fest. Man benötige die Parameter weiterhin, um herauszufinden, auf welchen Unterseiten der Nutzer surft, erklärte das Unternehmen. AVG ist da offenbar anderer Meinung hat gegen die gegenteilige Richtung eingeschlagen: die Datenpakete sind nach wie vor unverschlüsselt, dafür verzichtet man auf die URL-Parameter. (rei)