Android-Virenscanner schnüffeln Surf-Verhalten aus

Viele Virenscanner für Android senden mehr Daten an ihren Hersteller, als sie sollten. c't hat sie dabei ertappt, wie sie Privates übertragen und HTTPS unterwandern. Eine der größten Datenpetzen wurde über 100 Millionen Mal installiert.

In Pocket speichern vorlesen Druckansicht 196 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Millionenfach installierte Virenscanner für Android überwachen das Surf-Verhalten ihrer Nutzer und übermitteln ihre Erkenntnisse an die Hersteller. Dabei untergraben Sie sogar die Sicherheit von verschlüsselten HTTPS-Verbindungen. Dies berichtet c't in der aktuellen Ausgabe 6/14.

Wir analysierten bei sechs verbreiteten Android-Virenscannern die Kommunikation mit dem jeweiligen Hersteller und stießen in vier Fällen auf ernsthafte Datenschutzprobleme. Alle getesteten Apps bieten eine Safe-Browsing-Funktion, bei beim Besuch potenziell bösartiger Web-Seiten Alarm schlagen soll. Ob eine Seite bösartig ist oder nicht, erfragen die Apps bei der Hersteller-Cloud. Dabei gehen oft aber mehr Daten durch die Leitung als nötig.

Datenleck: Beim Besuch einer HTTPS-Seite melden einige Virenscanner die vollständige URL an ihren Herrn und Meister.

Die meisten Apps übertragen die vollständige URL der aufgerufenen Web-Seite. Zwei der Testkandidaten, nämlich die Apps von Avast und AVG, machten sogar vor den an die Adresse angehängten URL-Parametern nicht Halt. Diese können vertrauliche Daten wie etwa Passwörter oder Session-IDs enthalten. Die beiden Apps wurden zusammen über 150 Millionen Mal installiert.

Außerdem übertragen fast alle untersuchten Virenschutz-Apps die Safe-Browsing-Anfragen im Klartext – auch dann, wenn man auf HTTPS-Seiten surft. Ein Angreifer kann so darauf schließen, welche Unterseiten und Funktionen man ansteuert. Normalerweise würde er bei HTTPS-Traffic nur erfahren, mit welchem Server man spricht.

Die detaillierten Ergebnisse finden Sie in der aktuellen c't 6/14, die seit heute am Kiosk erhältlich ist.

(rei)