Neugierige Apps

Nach einer neuen Studie verwertet die Hälfte aller iPhone-Apps Informationen, mit denen Nutzer ohne ihr Wissen ausgespäht werden können – trotz des Prüfverfahrens von Apple.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Nach einer neuen Studie verwertet die Hälfte aller iPhone-Apps Informationen, mit denen Nutzer ohne ihr Wissen ausgespäht werden können – trotz des Prüfverfahrens von Apple.

Wer hat diese Szene nicht schon selbst erlebt: Da stehen Menschen in der Kneipe beisammen und führen sich, über ihre iPhones gebeugt, die neuesten App-Errungenschaften vor. Nur wenige dürften in diesem Augenblick einen Gedanken daran verschwenden, ob die hippen Anwendungen vielleicht noch ganz andere Dinge können. Können sie, sagt nun auch eine Gruppe von Informatikern aus Österreich, Frankreich und den USA. Sie hat herausgefunden, dass die Hälfte aller iPhone-Apps Informationen verwertet, mit denen Nutzer ohne ihr Wissen ausgespäht werden können.

In ihrer Studie untersuchten Manuel Egele von der TU Wien und drei Kollegen gut 1400 Apps für iPhones. Die gute Nachricht: Nur 36 Anwendungen griffen sofort auf die Ortsdaten des Nutzers zu, ohne diesen darüber zu informieren. Und nur fünf Apps durchforsteten sogleich dessen Adressbuch – ebenfalls ohne Abfrage. Die schlechte Nachricht: Über die Hälfte der untersuchten Apps schickte die Gerätenummer – eine 40-stellige Hexadezimalzahl, die ein iPhone zweifelsfrei identifiziert – ins Netz. Die Gruppe wird ihre Studie kommende Woche auf dem Network and Distributed System Security Symposium vorstellen.

Die Forscher griffen bei ihrer Untersuchung auf zwei Arten von Apps zurück: 825 „offizielle“ aus dem App Store von Apple und 582 aus den Cydia Repositories. Dieser von Jay Freeman programmierte Dienst erlaubt über eine eigene iPhone-Anwendung, auch von Apple nicht autorisierte Apps zu laden, wenn man zuvor die Sicherheitsbeschränkungen des Betriebssystems iOS geknackt hat (was als „jailbreaking“ bezeichnet wird).

Als „Verletzung der Privatsphäre“ werten die Forscher jeden Vorgang, bei dem ein Programm sensible Daten ausliest und ohne Autorisierung durch den User ins Netz schickt. Als sensible Daten gelten in der Studie Adressen, Ortskoordinaten, die Geräte-ID, Informationen über Emailkonten und Telefonate, der Nutzungsverlauf von YouTube und dem Safari-Browser sowie der Zwischenspeicher der einblendbaren Tastatur.

„Bei unserer Definition von Privacy ging es uns darum, dass solche Daten nicht aus dem Gerät herausgezogen werden dürfen, ohne dass der User davon weiß“, sagt Egele. Ein solches explizites Einverständnis verlangen eigentlich auch die Lizenzbedingungen, unter denen Apple die Anwendungen freigibt. „Ob der Vorgang mit krimineller Absicht erfolgt oder nicht, blieb bei unserer Untersuchung außen vor“, so Egele.

Als Testwerkzeug diente das von der Gruppe entwickelte Programm PiOS. Weil der Programmcode der untersuchten Apps den Forschern nicht zur Verfügung stand, untersuchten sie mit PiOS in einem dreistufigen Prozess den Fluss der reinen Binärdaten, um Pfade von sensiblen Daten – „Quellen“ – zu Programmfunktionen, die mit Dritten im Netz kommunizieren – „Senken“ –, zu identifizieren. Gemäß der Schnittstellen-Dokumentation von Apple kamen 14 Programmfunktionen als Senken in Frage.

Das Ergebnis: In 205 Fällen hatten die App-Entwickler eigens eine Routine programmiert, um die Geräte-ID direkt abzugreifen. Bei 656 Anwendungen geschah dies indirekt. Die Geräte-ID wurde hier entweder von eingebundener Werbung ausgelesen oder von externen Software-Bibliotheken, die von den kleinen Programmen aufgerufen werden.

„Für Firmen, die es mit der Gesetzeslage nicht so genau nehmen, gibt es Möglichkeiten, daraus Nutzerprofile zu generieren“, warnt Egele. „Die Geräte-ID ist zwar nicht mit einem Usernamen verknüpft, könnte aber einem Facebook-Konto zugeordnet werden. Das würde eine Menge über den Nutzer verraten, in den meisten Fällen auch dessen richtigen Namen.“ Nutzer, die ein Online-Konto bei Google haben, könnten wiederum über die häufig verwendete Software-Bibliothek AdMob ausgespäht werden, die ebenfalls Geräte-IDs ausliest. Denn erst kürzlich hat der Datenkonzern AdMob gekauft.

Bereits im vergangenen Jahr hatte das „App Genome Project“ der IT-Sicherheitsfirma Lookout 100.000 Apps für iPhones und Android-Smartphones auf Datensammeleien untersucht. Dabei kam heraus, dass viele Entwickler in der Beschreibung ihrer App keinen Hinweis darauf gaben, welche Daten gesammelt wurden. Eine signifikante Anzahl der untersuchten Anwendungen enthielt Funktionen, die von den Entwickler zuvor nicht offengelegt wurde.

Besonders pikant: Offiziell zugelassene Apps aus Apples App Store griffen die Gerätenummer häufiger unautorisiert ab als die ungetesteten Apps aus den Cydia-Depots. Das ist umso befremdlicher, da Apple eigentlich sämtliche Apps überprüft, bevor sie in den App Store kommen. Entwickler müssen, wenn eine App Nutzerdaten abfragen will, eine Freigabe durch den Nutzer einbauen. Allerdings sind über das Prüfungsprocedere nur wenige technische Details bekannt.

„Man weiß oft auch nicht genau, was diese Apps machen – sie kommen selten von großen Firmen, sondern häufig von Einzelentwicklern“, sagt Charlie Miller, iPhone-Sicherheitsexperte bei Independent Security Evaluators. Um den Zugriff aufs iPhone-Betriebssystem zu beschränken, laufen Apps in einer „Sandbox“, einem virtuellen Software-Container. Dessen Sicherheitswände seien aber nicht allzu stark und es sei nicht schwierig, an persönliche Daten heranzukommen, weiß Miller – die Sandbox sei schon „ziemlich schlapp“.

Angesichts der neuen Studie fordert Miller nun, Apple solle sein Prüfverfahren verbessern. „Eine einfache Lösung gibt es für dieses Problem nicht. Aber eine zentrale Prüfstelle, wie Apple sie hat, ist sicher die beste Voraussetzung“, findet Miller. „Wie es aussieht, macht Apple das irgendwie noch nicht richtig.“

Die Gruppe um Egele schlägt außerdem vor, iPhones nicht mehr eine einzige Geräte-ID zu geben. „Das Privacy-Risiko könnte verringert werden, wenn eine Identifizierungsnummer eingesetzt würde, die unverwechselbar für eine Kombination aus Anwendung und Gerät ist“, schreiben die Forscher in ihrem Konferenz-Paper. „Das heißt, dass die Geräte-ID, die an ein Programm übermittelt wird, für jede App anders sein sollte.“

Das Paper:
Egele, M. et al., „PiOS: Detecting Privacy Leaks in iOS Applications“,18th Annual Network and Distributed System Security Symposium, (NDSS 2011), San Diego, February 2011 (nbo)