Ein wichtiges Ergebnis des Tests: Mehr als 9.000 (91 Prozent) der insgesamt getesteten 10.000 Apps verlangen vom Nutzer eine Berechtigung für den Aufbau einer Internetverbindung. Dieser müsse bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne jedoch zu wissen, wozu diese Verbindung genutzt werde, bemängelt das Institut.
Weit kritischer für den Nutzer sei dabei aber die Tatsache, dass ein Großteil der Apps diese Verbindungen nutze, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4.358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers.
"Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Berechtigungen genau macht, bleibt offen", so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer-Institut. Zwar sei die Verbindung zum Internet für viele Apps notwendig, bei Anwendungen wie einer Taschenlampen-App für den Benutzer allerdings nicht immer nachvollziehbar.
69 Prozent der Apps kommunizieren unverschlüsselt
Des Weiteren stellten die Forscher fest, dass rund 7.000 Apps (69 Prozent) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI, mit der sich Handys identifizieren lassen, an Server im Netz.
Der Nutzer hat dabei den Forschern zufolge in den wenigsten Fällen Einflussmöglichkeiten: So starten 1.732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4.917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3.930 lesen den Gerätestatus aus.
Apps unzureichend programmiert
Die Sicherheit des Nutzers werde zudem durch unzureichend programmierte Apps bedroht. "So gibt ein gutes Viertel (26 Prozent) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, sodass die Verbindung leicht angreifbar ist", halten die Fraunhofer-Forscher fest.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.