Apps telefonieren nach Hause [Update]

Zahlreiche Anwendungen für Android-Smartphones oder Apples iPhone senden mehr sensible Daten an Dritte, als dem Handybesitzer bewusst sein dürfte. Zu diesem Schluss kommen Sicherheitsexperten des US-Anbieters Lookout, die auf der Sicherheitskonferenz Black Hat in Las Vegas erste Erkenntnisse aus einer Analyse von über 100.000 Apps vorstellten. Mit dem "App-Genom-Projekt" wollen die Lookout-Gründer John Hering und Kevin Mahaffey Tausende der kleinen Anwendungen daraufhin untersuchen, was sie nach der Installation auf dem Smartphone alles anstellen dürfen.

Bisher wurden nach Angaben des Unternehmens nahezu 300.000 Apps erfasst und über 100.000 davon gründlich untersucht. Nach ersten Erkenntnisse habe jeweils ein Drittel der untersuchten Anwendungen beider Plattformen Zugriff auf ortsbezogene Daten. Während 14 Prozent der iPhone-Apps auf Kontaktdaten zugreifen können, waren es nur 8 Prozent der untersuchten Android-Programme.

Fast die Hälfte der untersuchten Android-Anwendungen enthalte Code von Drittanbietern, der etwa für Werbezwecke oder zur Analyse des Nutzungsverhaltens eingesetzte werde, während es beim iPhone nur knapp ein Viertel sei. Viele Nutzer, aber auch die App-Entwickler selbst, wüssten dabei oft nicht, was dieser Code tatsächlich macht.

Ob die Zugriffe legitim erfolgen oder dazu dienen, den Anwender heimlich auszuspionieren, lässt sich nicht ohne weiteres feststellen. Letzteres sei aber nicht grundsätzlich auszuschließen. So habe eine populäre App, die millionenfach aus dem Android-Market heruntergeladen wurde, persönliche Daten an unbekannte Dritte gesendet. Die harmlos aussehende Wallpaper-App habe die SIM-Nummer, Informationen über den Handybesitzer und – sofern gespeichert – das Passwort der Voicemailbox an einen in China registrierten Server gesendet. [Update: Lookout korrigierte inzwischen gegenüber Venturebeat die zunächst von US-Medien verbreitete Darstellung, die App habe auch die Browser-History und SMS-Nachrichten ausgelesen und übermittelt.]

Die Betreibern der App-Stores versuchen der Verbreitung solcher Apps natürlich einen Riegel vorzuschieben. Apple kontrolliert zwar vorab, ob Apps den eigenen Regeln entsprechen, wird aber immer wieder ausgetrickst – zuletzt von einem 15-jährigen, der eine Tethering-App an Apples Kontrollen vorbei gemogelt hatte. Der Zugang zu Googles Android Market steht zwar jedem frei, aber auch dort wird kontrolliert. So hat Google erst kürzlich tausende Spam-Apps aus dem Market verbannt. Im Zweifelsfall kann Google missliebige Apps nicht nur löschen. (vbr)