© AP, Fotolia

FORSCHUNG
05/23/2011

iPhone-Apps spionieren Nutzer aus

Privatsphäre am iPhone? Fehlanzeige. Mehr als die Hälfte der Smartphone-Apps spioniert ungefragt persönliche Daten aus. Das geht aus einem Forschungsbericht der TU Wien hervor. Die FUTUREZONE hat mit dem Studienautor Manuel Egele über die Gefahren der ungefragten Datenübertragung gesprochen.

von Barbara Wimmer

16,2 Millionen iPhones wurden alleine im Weihnachtsquartal von Apple verkauft. Wer sich ein Smartphone zulegt, möchte meist auch die dazugehörigen Apps auf das Handy laden. Über zehn Milliarden Programme sind bereits aus dem App Store runtergeladen worden. Doch diese sind oft nicht so harmlos, wie sie auf den ersten Blick erscheinen.

Ein Forscher an der TU Wien hat jetzt herausgefunden, dass 55 Prozent von insgesamt 1407 untersuchten iPhone-Apps die jeweilige Gerätenummer an App-Entwickler oder Werbefirmen übermitteln. "Bei den Werbefirmen haben die Entwickler gar keinen Einfluss darauf", erklärt der TU-Absolvent Manuel Egele gegenüber der FUTUREZONE.

"Mächtiger Pool an Daten"

Die Übertragung der Gerätenummer alleine stellt jedoch noch kein großes Problem dar. Es wird erst dann heikel, wenn diese mit anderen Daten verknüpft wird. "Es gibt zum Beispiel Apps, bei der die Datenbank von Facebook eingebunden wird, so dass man seinen Status automatisch updaten kann", beschreibt Egele. Diese Funktion dient etwa bei Spielen dazu, seine Highscore mit Freunden zu teilen und zu vergleichen. "Wenn man diese Daten miteinander kombiniert, können Werbeunternehmen Persönlichkeitsprofile erstellen, weil sie über einen mächtigen Pool an Daten verfügen", so Egele. Es lässt sich also relativ einfach heraus finden, wem das iPhone gehört und was der Nutzer damit macht.

Adressbücher abgegraben

Es gibt auch Apps, die GPS-Daten oder ganze Adressbücher aus dem Telefon an Dritte übertragen. "Bei der Nutzung von GPS muss der Nutzer zwar vorher zustimmen, aber er ist sich oft nicht bewusst, dass er dadurch Werbefirmen einen permanenten Zugriff auf seinen Aufenthaltsort ermöglicht", mahnt Egele. "Was die Firmen mit den Daten wirklich machen, weiß keiner."

Eine Applikation ist den Forschern besonders ins Auge gestochen: Der US-Lokalisierungsdienst Gowalla überträgt etwa das gesamte Adressbuch des Nutzers an die internen Server, ohne dass der Nutzer darauf hingewiesen wird. Eine Beschwerde an Apple führte lediglich zur Reaktion, man möge sich direkt an die App-Entwickler wenden. "Das ist schwer einzusehen, denn schließlich rühmt sich Apple damit, strenge Sicherheitschecks zu absolvieren", so Egele, der auch kritisiert, dass praktisch nichts öffentlich über den Sicherheitsüberprüfungsprozess von Apple bekannt sei.

Apps im Cydia Store weniger betroffen

Neben Gowalla fanden die vier Forscher, die neben der TU Wien auch vom Institute Eurecom, Sophia Antipolis, der Northeastern University in Boston und der University of California, Santa Barbara, kommen, eine weitere sehr bedenkliche App. //Smartphone// heißt sie und greift "ziemlich alles ab, was auf dem iPhone gespeichert ist wie Fotos oder die Browser-Hi"story" vom Safari". Die App ist allerdings nur für gejailbreakte iPhones im Cydia-Store erhältlich. Dort finden sich Programme von Drittentwicklern und Zusatzfunktionen, die von Apple im App Store nicht zugelassen werden.

Das Forscherteam untersuchte neben 825 Gratis-Apps aus dem offiziellen App Store nämlich auch 582 Apps aus dem inoffiziellen Cydia Store. Dieser unterliegt im Gegensatz zum App Store keinen Sicherheitskontrollen. Trotzdem konnten bei den inoffiziellen Apps nicht mehr Sicherheitsmängel festgestellt werden, im Gegenteil: Während 21 Prozent der Apps aus dem App Store die Gerätenummer übertragen haben, taten dies nur vier Prozent der Cydia Apps. "Das war für uns eine große Überraschung", so Egele, der jedoch auch eine Erklärung dafür parat hat: "Es gibt kaum gejailbreakte iPhones und somit ist der Cydia Store kein Hauptziel für Leute, die bösartige Apps verteilen wollen."

Analyse-Software PiOS

Für Apple wäre es relativ einfach, die Privatsphäre von iPhone-Nutzern besser zu schützen. "Man braucht keine Gerätenummer zu übertragen. Stattdessen wäre es sinnvoll, wenn es eine Kombination aus Geräte- und App-Nummer gibt", so Egele. Die Forscher haben mit PiOS eine Software entwickelt, die analysieren kann, ob die Privatsphäre durch bestimmte iPhone-Apps verletzt wird. Das Analysesystem dient dazu, "Dinge aufzudecken, die Apple übersehen hat.". Die Software ist allerdings noch nicht für die Öffentlichkeit verfügbar, dies sei allerdings geplant.

Mehr zum Thema:

Klage gegen Apple wegen spionierender Apps
Smartphones im Visier von Cyberkriminellen

(Barbara Wimmer)

Zur Person:

Manuel Egele hat zusammen mit Christopher Kruegel, Engin Kirda und Giovanni Vigna eine Studie zum Thema "PiOS: Detecting Privacy Leaks in iOS Application" erstellt. Dafür wurde mit PiOS auch eigens ein Programm entwickelt, das die Sicherheitslücken der iPhone-Apps aufdecken kann.

Der junge Forscher wechselt nach seinem Doktortat nun direkt an die University of California in Santa Barbara.

Link:

Forschungsbericht zu "Detecting Privacy Leaks in iOS Applocations" (PDF)
Manuel Egele am ISEC-Lab

Klage gegen Apple

In den USA wurde im Dezember 2010 wegen einer ähnlichen Problematik eine Klage gegen App-Entwickler wie Pandora sowie Apple eingereicht. Damit soll die Weitergabe der Daten an Dritte per Gericht gestoppt werden.

Apple ist deswegen von der Sammelklage betroffen, weil es anders als Google alle Apps, die im App Store landen, genau kontrolliert und erst im Anschluss freigibt. Die Regeln für App-Entwickler besagen allerdings, dass die Weitergabe von Daten an Dritte verboten sei. Apple hätte die betroffenen Apps daher gar nicht erst zulassen dürfen.

Mehr zum Thema:

Klage gegen Apple wegen spionierender Apps

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.