Stay hungry. Stay foolish.

Viele Apps spionieren den Anwender aus


Die Sache mit dem UDID
Eine neue amerikanische Studie weist nach, dass viele iOS-Programme heimlich Nutzerdaten sammeln und übermitteln. Derzeit gibt es für Anwender keine Möglichkeit, dies zu kontrollieren und zu unterbinden - zumindest nicht ohne Jailbreak. Laut Studie entpuppten sich vor allem kostenlose Apps häufig als Spyware. Schuld daran ist der freie Zugriff auf bestimmte Informationen, wie dem Unique Device Identifier (UDID) - der eindeutigen Seriennummer von iPhone, iPad und iPod touch.

Eric Smith, stellvertretender Direktor für Informationssicherheit und Netzwerke an der Bucknell University von Lewisburg, Pennsylvania, hat eine Studie mit dem Titel iPhone Applications & Privacy Issues: An Analysis of Application Transmission of iPhone Unique Device Identifiers (UDIDs) veröffentlicht (PDF-Download).

Mit dem UDID kann jedes iOS-Gerät weltweit eindeutig identifiziert werden. Bei bestimmten Anwendungen ist das sinnvoll, etwa der MobileMe-Funktion „Find my iPhone“, oder um High Scores von Spielen zu vergleichen. Doch der Zugriff darauf kann auch missbräuchlich angewandt werden, wenn im Hintergrund weitere Daten erfasst, aufbereitet und übertragen werden.

Smith hat sich im iTunes Store umgesehen und 57 Programme der Rubriken „Top Free“ und „Most Popular“ genauer untersucht. Er fand heraus, dass 68 Prozent der getesteten Apps den UDID beim Start versenden. 30 Prozent davon ungeschützt, der Rest SSL-verschlüsselt. Weitere 18 Prozent der Kandidaten kodierten die Kommunikation derart, dass nicht nachzuvollziehen war, welche Daten überhaupt übertragen wurden. Lediglich 14 Prozent der getesteten Apps konnte als „clean“ klassifiziert werden.

In vielen Fällen wurden neben dem UDID noch weitere, teils auch persönliche Daten übermittelt, ohne dass der Anwender davon etwas mitbekam und obwohl diese Infos für die Funktionalität der jeweiliigen App nicht erforderlichh waren. Ausserdem zeigten viele Anwendungen die Fähigkeit, die iPhone-Seriennummer mit der echten Identität des Anwenders zu verknüfen. Dazu zählen u.a. die Apps von Amazon, Facebook und Twitter.

Die Studie bemängelt auch, dass das iOS kaum nennenswerte Vorkehrungen zum Schutz der Privatsphäre aufweist, wie etwa die Möglichkeit, App-Cookies zu sperren oder zu löschen. Data Minung im grosssen Stil seien so Tür und Tor geöffnet. Smith nennt als Beispiel die AGB von Twitter, wonach sich das Unternehmen das Recht aneignet, persönliche Informationen, wie etwa die aktuelle IP-Adresse, Referrer Domain, besuchte Websites und Suchergebnisse an „vetrauenswürdige Drittanbieter“ weiter zu veräussern.

Einen weiteren grossen Kritikpunkt sieht der Autor in Apples Umgang mit den Standortdaten. Etliche der getesteten Apps verlangten Zugriff darauf, obwohl das aufgrund der Art der Anwendungen eigentlich nicht erforderlich war. Zwar könne der Nutzer die Übertragung der GPS-Daten allgemein unterbinden, allerdings nerven die Programme dann mit der Aufforderung, diese Beschränkung aufzuheben.

„Browsing-Vorlieben, App-Nutzung und der aktuelle Aufenthaltsort lassen sich technisch recht simpel an Dritte weiterreichen oder verkaufen”, so Smith.

Ein besonderer Dorn im Auge war dem Autor eine Klausel in den 159-seitigen Nutzungsbedingunngen des App Stores, wonach nicht nur Apple, sondern auch Geschäftspartner und Lizenznehmer die Lokalisationsdaten des Gerätes erfassen, aufbereiten und nutzen können, wenn diese Funktion freigegeben ist. Stimmt der Kunde dieser Regelung nicht zu, erhält er keinen Zugang zum App Store.

Unter Einhaltung der Apple Nutzungsbedingungen hat der Kunde derzeit keine Chance, die Sicherheitslecks zu schliessen. Entsprechende Schutzprogramme sind bisher nur für Jailbreak-Geräte erhältlich, da sie sich tief in das System integrieren und nicht-freigegebene Schnittstellen nutzen.

Apple sollte möglichst bald Sicherungsmöglichkeiten einbauen, die es dem Nutzer erlauben, selbst zu bestimmen, welche Informationen er welchem Anbieter mitteilen möchte.

Bild: Apple, Inc.; Text: Thomas Landgraeber

Hat Ihnen dieser Beitrag gefallen?
Dann teilen Sie ihn mit Freunden und Kollegen, abonnieren Sie den RSS-Feed,
oder folgen Sie mir. Ich freue mich auch über jeden Kommentar. Vielen Dank.



WERBUNG

blog comments powered by Disqus