Sicherheitslücken

Schwere Mängel bei wichtigsten Android-Apps

(Bild: aisec.fraunhofer.de)

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit haben 10.000 der beliebtesten Android-Apps getestet und dabei zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt. Zu den Sicherheitsmängeln zählen etwa unverschlüsselte Datenübertragungen, wie das Institut am Mittwoch mitteilte.

Ein wichtiges Ergebnis des Tests: Mehr als 9.000 (91 Prozent) der insgesamt getesteten 10.000 Apps verlangen vom Nutzer eine Berechtigung für den Aufbau einer Internetverbindung. Dieser müsse bei der Installation der jeweiligen App dieser Anfrage zustimmen, ohne jedoch zu wissen, wozu diese Verbindung genutzt werde, bemängelt das Institut.

Weit kritischer für den Nutzer sei dabei aber die Tatsache, dass ein Großteil der Apps diese Verbindungen nutze, um gleich beim Start der App ungefragt persönliche Daten zu verschicken. Insgesamt stellte der Test Datenübertragungen an 4.358 Server in der ganzen Welt fest – ohne Wissen und Zutun des Nutzers.

"Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit, zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden. Die Frage, was die App mit den Berechtigungen genau macht, bleibt offen", so Dr. Julian Schütte, Projektleiter für Mobile Sicherheit am Fraunhofer-Institut. Zwar sei die Verbindung zum Internet für viele Apps notwendig, bei Anwendungen wie einer Taschenlampen-App für den Benutzer allerdings nicht immer nachvollziehbar.

69 Prozent der Apps kommunizieren unverschlüsselt
Des Weiteren stellten die Forscher fest, dass rund 7.000 Apps (69 Prozent) unverschlüsselt mit der Außenwelt kommunizieren. 448 Apps sendeten eindeutige persönliche Daten wie die IMEI, mit der sich Handys identifizieren lassen, an Server im Netz.

Der Nutzer hat dabei den Forschern zufolge in den wenigsten Fällen Einflussmöglichkeiten: So starten 1.732 der getesteten Apps direkt beim Start des Geräts und agieren permanent im Hintergrund. Ebenfalls signifikant ist mit fast 50 Prozent (4.917) die hohe Anzahl der Apps, die den Aufenthaltsort des Gerätes bestimmen können. 3.930 lesen den Gerätestatus aus.

Apps unzureichend programmiert
Die Sicherheit des Nutzers werde zudem durch unzureichend programmierte Apps bedroht. "So gibt ein gutes Viertel (26 Prozent) der Apps zwar vor, eine sichere Verbindung zum Internet aufzubauen, schaltet aber die Prüfung des Serverzertifikats explizit ab, sodass die Verbindung leicht angreifbar ist", halten die Fraunhofer-Forscher fest.