Studie: Mehr als 1000 Android-Apps sammeln unerlaubt Daten

Wer eine Android-App installiert, bekommt vor dem Download eine Liste mit den erforderlichen Berechtigungen präsentiert. So weiß der Nutzer bereits vor der Installation, auf welche Daten eine App Zugriff hätte. Doch wie eine neue Studie des International Computer Science Institute der US-Universität Berkeley zeigt, halten sich viele Android-Apps nicht an diese Vereinbarung. Im Zuge der Studie wurden 88.113 Apps aus dem US-Angebot des Google Play Store geprüft. Davon griffen insgesamt 1325 Apps auf Daten zu, für die sie keinerlei Berechtigung hatten, unter anderem Standort und Daten, die das Gerät und den Nutzer eindeutig identifizierbar machten.

Die Studie, die bereits Ende Juni auf der Fachkonferenz PrivacyCon präsentiert wurde, übt heftige Kritik an der Vorgehensweise der App-Entwickler. „Grundsätzlich haben Konsumenten nur sehr wenige Möglichkeiten und Ansätze, um ihre Daten zu schützen und bewusste Entscheidungen darüber zu treffen“, so Serge Egelman, einer der Studienautoren. „Wenn App-Entwickler das System einfach umgehen können, dann macht es auch keinen Sinn, nach Erlaubnis zu fragen.“

Foto-App holt sich Standort auf Umwegen

Die Studienautoren haben Google über die entdeckten Schlupflöcher bereits vergangenen September informiert. Der US-Konzern versprach, diese in der kommenden Android-Version Q zu stopfen. Unter anderem werden Apps Fotos und WLAN-Daten nicht mehr nutzen können, um ohne ausdrückliche Erlaubnis den Standort zu bestimmen. Derartiges Verhalten wies unter anderem die beliebte Foto-App Shutterfly auf, die laut Play Store mehr als fünf Millionen Mal heruntergeladen wurde.

Diese durchsuchte Fotos nach Standortdaten, auch wenn der Nutzer der App diese Berechtigung verweigerte. Das US-Unternehmen dementiert dieses Vorgehen. Man habe diese Daten lediglich gesammelt, „um das Nutzererlebnis mit Funktionen wie Kategorisierung und personalisierten Produktempfehlungen zu verbessern“, wie es auch in der Datenschutzrichtlinie vermerkt sei. Auch die Studienautoren räumen ein, dass das Sammeln der Daten nicht in böser Absicht erfolgt sein muss. „Andererseits lässt ein Fall, in dem eine App Code enthält, um Daten mit Berechtigung zu sammeln, aber auch Code für Umwege beinhaltet, keine einfachen Ausreden zu.“

IMEI über SD-Karte

Einige Apps missbrauchten auch die Berechtigungen anderer Apps. Die chinesische Werbeplattform Salmonads speicherte beispielsweise persönliche Daten wie die IMEI, die eindeutige Seriennummer eines Smartphones, auf der SD-Karte. Da dieser Speicher, im Gegensatz zum internen Speicher, unverschlüsselt ist, konnten auch Dritt-Apps ohne Erlaubnis für den Zugriff auf diese Daten darauf zugreifen. Das war kein Zufall: So konnte das Werbenetzwerk Nutzer verlässlich tracken, auch wenn diese einzelnen Apps die notwendigen Berechtigungen verweigerte. Auch der chinesische Google-Konkurrent Baidu machte sich eine ähnliche Methode zunutze.

Zumindest 13 untersuchte Apps nutzten diese Methode, 153 weitere Apps wären dazu technisch in der Lage und enthielten den entsprechenden Code. Dazu zählt unter anderem auch eine App für Besucher von Disneyland Hong Kong, Samsung Health und Samsung Browser. Die Samsung-Apps allein weisen laut Google je mehr als 500 Millionen Downloads auf und sind auf den meisten Samsung-Smartphones vorinstalliert.

DSGVO-Verstoß

„Von diesen Entdeckungen dürften hunderte Millionen Nutzer betroffen sein“, heißt es in der Studie. Besonders kritisiert werde das fahrlässige Vorgehen der App-Entwickler, da auch in guter Absicht gesammelte Daten zu einer Gefahr für den Nutzer werden könnten. Sie gehen auch davon aus, dass die Entwickler mit diesem Vorgehen gegen geltende US- und EU-Gesetze verstoßen haben.