Wie Apps Nutzer manipulieren

Microsoft-Forscher wollen mit einem neuen Verfahren herausfinden, wie das App-Design Nutzer manipuliert, damit sie auf Anzeigen klicken.

Anzeigen in Apps bringen deren Entwicklern inzwischen acht Milliarden Dollar Umsatz im Jahr ein. Wo so viel Geld im Spiel ist, sind Trickser nicht weit. Ein Verfahren ist zum Beispiel, ein Programm zu schreiben, dass en masse gefälschte Zugriffe produziert. Schon hinterhältiger ist der so genannte „Placement Fraud“: Da werden Anzeigen so klein formatiert oder so dicht neben einem Funktiosbutton platziert, dass sie immer wieder versehentlich angeklickt werden. Den Schaden beziffern Experten auf schätzungsweise eine Milliarde Dollar, die Werbetreibende zu viel bezahlen.

Forscher von Microsoft und der University of Southern California haben nun ein Verfahren veröffentlicht, dass gegen solche Betrügereien auf breiter Front vorgehen soll. Kernstück ist ein „digitaler Affe“, der zwischen Millionen von Apps – statt von Baum zu Baum – hin und herspringt und überprüft, ob das App-Design die Geschäftsbedingungen eines App Stores verletzt.

Bei einem Testlauf mit 50.000 Apps auf Windows-Smartphones spürte das System über 1000 Apps auf, deren Anzeigen-Platzierung nicht korrekt war. In einem anderen Test mit 1200 Apps auf Windows-8-Tabletrechnern entpuppten sich 50 als problematisch. Die Tests, im April 2013 durchgeführt, werden auf der diesjähirgen Usenix-Konferenz in Seattle vorgestellt.

Dass Menschen Apps noch selbst auf die Einhaltung der Geschäftsbedingungen überprüfen, ist angesichts der schieren Masse der kleinen Mobilanwendungen nicht mehr möglich. Ein Großteil der Forschung richtet sich derzeit gegen Klick-Bots, die die Zugriffszahlen und damit die Anzeigenerlöse in die Höhe treiben sollen.

Das neue Werkzeug von Microsoft startet Apps in einem Emulator und geht die Anwendung dann gründlich durch. Jeder Button, auf den der „digitale Affe“ trifft, wird angeklickt. Texteingabefelder werden gecheckt, indem das System etwa eine Postleitzahl eingibt, um herauszufinden, welche Art von Text weiterführt. „Das Ziel des Affen ist, so viele Seiten einer App wie möglich aufzusuchen“, sagt Suman Nath, Forscher bei Microsoft.

Mit dieser Strategie konnte der Microsoft-Affe unter anderem in einer App für das chinesische Kartenspiel Mah-Jongg unlautere Methoden entdecken. In der App befand sich auf der rechten Seite ein Werbebalken, in dem – sehr clever – Karten zu sehen waren, die Mah-Jongg-Karten täuschend ähnlich sahen. „Beim Nutzer entsteht so der Eindruck, die App sei werbefrei“, sagt Bin Liu von der University of Southern California.

Der Ansatz des „digitalen Affen“ sei tatsächlich neu, bestätigt Xuxian Jiang, Informatiker an der North Carolina State University, der zu Fragen der mobilen Sicherheit forscht. Auch wenn das System nicht herausfinden könne, ob die Platzierung solcher Anzeigen mit Absicht oder aus Schlamperei geschehe, sei es „ein guter Anfang“.

Das Paper:
Liu, Bin et al.: "DECAF: Detecting and Characterizing Ad Fraud in Mobile Apps", Usenix 2014 (nbo)