Forscher: Android-Apps schicken Screenshots und Videos an Drittfirmen
Android-Apps dürfen ihren eigenen Bildschirm abfilmen, ohne nach Berechtigungen zu fragen. Damit können Entwickler das Verhalten ihrer Nutzer tracken.
Android-Apps können den eigenen Bildschirm aufzeichnen, ohne sich dafür beim Anwender explizit Rechte einholen zu müssen. Auf den ersten Blick scheint das auch so in Ordnung zu sein, da die App ja ohnehin weiß, was sie auf den Bildschirm malt. Eine Forschergruppe aus den USA warnt nun allerdings davor, dass diese Technik auch dazu genutzt werden kann, sensible Daten an Drittfirmen zu schicken. Sie haben Apps dabei erwischt, wie sie Screenshots und Videos der Benutzeroberfläche an Analytics-Firmen verschickt haben.
Session Replay fĂĽrs Handy
Konkret beziehen sich die Forscher auf die Anbieter Appsee und TestFairy. Appsee wirbt damit, App-Entwicklern Einblicke darin zu verschaffen, wie Anwender die App der Entwickler nutzen – das Ganze funktioniert wie Session Replay für mobile Apps. TestFairy verspricht ähnliches: Durch Einbetten der Programmbibliotheken der Firma sollen App-Entwickler in Beta-Tests ihren Code verbessern können. Nur dass die App, in der die Forscher den TestFairy-Code fanden, nicht als Beta-Version deklariert war.
Insgesamt untersuchten die Forscher 17.260 Apps aus dem Google Play Store und drei kleineren App Stores (AppChina, Mi.com und Anzhi) mit einem automatisierten Verfahren nach solchen Praktiken – die überwiegende Zahl der untersuchten Apps stammt aus dem Google-Store. Zwar verschicken die von den Forschern gefundenen Apps keine Videos oder Audio-Aufnahmen der Nutzer, die Videos oder Screenshots der eigenen Nutzeroberfläche enthalten aber zum Teil persönliche Daten wie Kontaktinformationen Dritter oder Kreditkarten-Informationen des App-Nutzers. Zwar handelt es sich um Funktionen von Drittfirmen, besondere Rechte braucht es dafür aber trotzdem nicht, weil deren Programmbibliotheken im Kontext der App von deren Entwicklern eingebettet wurden.
Code-Leichen aus der App-Entwicklung?
Natürlich könnten die Apps die in den Screenshots und Videos enthaltenen Informationen auch selbst an die Server von Drittfirmen verschicken, das würde aber Absicht auf Seiten der App-Entwickler voraussetzen. Die vorliegenden Fälle sehen eher so aus, als ob die App-Entwickler Werkzeuge eingebaut haben, die ihnen bei der Analyse der App zur Verbesserung oder zum Tracken einzelner Nutzern bei Problemen helfen sollen, ohne darüber nachzudenken, das auf diesem Wege auch persönliche Daten der Nutzer übermittelt werden könnten.
Bei der App, die mittels Appsee Videos der Nutzerinteraktion aufnimmt, handelt es sich um GoPuff, einem Lieferdienst fĂĽr Mitternachts-Snacks fĂĽr den nordamerikanischen Markt. Zwei Konferenz-Apps des Tourismus-Veranstalters SAHIC verschickten ĂĽber TestFairy hingegen Screenshots, die bei Anwendern im Betrieb der App gemacht wurden. (fab)