Diese Gefahren birgt In-App-Advertising

Selbst sehr beliebte Apps schalten Werbung mit Drittanbieter-Code, durch den persönliche Daten unverschlüsselt übermittelt werden können.

Wir haben unsere Leser bereits wiederholte Male vor den Gefahren, die von Programmen unbekannter Herkunft ausgehen, gewarnt. Die meisten Nutzer scheinen allerdings keinerlei Bedenken zu haben, vertrauenswürdigen Apps, die von scheinbar zuverlässigen Entwicklern und Quellen stammen, zu vetrauen: Positive Bewertungen, Millionen von Downloads und der Vertrieb über offizielle Stores wie Google Play gelten für viele als Sicherheitskennzeichen. Eine Garantie dafür gibt es allerdings nicht.

In diesem Beitrag soll es nicht um Trojaner, sondern um authentische Apps, die dennoch Ihre Daten online an Dritte weitergeben, gehen. Unsere Experten haben insgesamt 13 Millionen APKs (Android-Programmpakete) untersucht und festgestellt, dass etwa ein Viertel dieser Pakete unverschlüsselte Daten über das Internet überträgt. Einige dieser Apps wurden bereits mehrere Millionen Mal (in einigen Fällen sogar auch über eine halbe Milliarde Mal) heruntergeladen. Hier kann nicht mehr die Rede von einem kleinen Problem sein.

Der Online-Informationsverlust aufgrund eines Entwicklerfehlers kann vorkommen, ist allerdings in den meisten Fällen eher unwahrscheinlich. Wenn sie dazu aufgefordert werden, Benutzerdaten an einen Server zu senden, verwenden die meisten Apps das sichere HTTPS-Protokoll, das verhindert, dass Außenstehende die Daten auf ihrem Weg abfangen können. Das Problem liegt in den Drittanbieterdiensten, die Entwickler ohne nähere Überprüfungen miteinbeziehen. So übertragen beispielsweise einige Analyse- oder Werbedienste Informationen über das Internet, nutzen dabei allerdings lediglich das Standard-HTTP-Protokoll, das keine Sicherheit garantiert.

Welche Informationen könnten betroffen sein?

Ein Großteil der Datenlecks, die wir entdeckt haben, hatte mit dem Gerätemodell, seinen technischen Spezifikationen, Netzwerk- oder ISP-bezogenen Daten und dem APK-Namen (mit dem das System das Paket erkennt) zu tun; bei vielen Diensten sickerten auch die Smartphone- oder Tablet-Koordinaten durch.

In einigen Fällen wurden Informationen zur App-Nutzung über HTTP von einem eingebetteten Drittanbieterdienst übertragen. Zu diesen Informationen gehören Likes, Posts, besuchte Seiten, usw. sowie Details zum Besitzer des Gadgets – Name, Telefonnummer, Geburtsdatum. Individuelle Schlüssel, die für jede Autorisierungsanforderung erstellt wurden, wurden ebenfalls unsicher übertragen. Glücklicherweise überträgt ein Großteil der Dienste Logindaten und Passwörter nicht in unverschlüsselter Form, obwohl es auch hier einige schwarze Schafe gab.

Worin liegt die Gefahr?

Informationen, die mittels HTTP übertragen werden, werden im Klartext gesendet, sodass so gut wie jeder auf sie zugreifen kann – einschließlich Ihr Internetanbieter. Darüber hinaus verfügt der Pfad von der App zum Server des Drittanbieters womöglich über zahlreiche „Transitpunkte“ in Form von Geräten, die Informationen über einen bestimmten Zeitraum empfangen und speichern.

Jedes Netzwerkgerät, auch Ihr Heimrouter, könnte ein Ziel für Angreifer sein. Wenn er gehackt wird, erhalten die Angreifer Zugriff auf wertvolle Informationen. (Ihr ISP kann das allerdings auch ganz ohne die Notwendigkeit Ihren Router zu hacken tun.) An Informationen über das Gadget (speziell IMEI- und IMSI-Nummern) zu gelangen reicht aus, um Ihre weiteren Aktionen zu überwachen. Je vollständiger die Informationen sind, desto mehr Informationen erhalten Außenstehende über Sie – angefangen bei Werbetreibenden bis hin zu Fake-Freunden, die schädliche Dateien zum Download anbieten.

Der Verlust von Geräte- und Benutzerdaten ist jedoch nur ein Teil des Problems; unverschlüsselte Informationen können darüber hinaus ersetzt werden. Beispielsweise kann der Server als Antwort auf eine HTTP-Anfrage einer App eine Videoanzeige zurückgeben, die von Cyberkriminellen abgefangen und durch eine weniger harmlose Version ersetzt werden kann.

Das können Sie tun

Natürlich sollten derartige Probleme von den App-Entwicklern selbst in Angriff genommen werden. Darauf vertrauen, dass sie diese Aufgabe aber auch tatsächlich übernehmen, sollten Sie nicht. Deshalb haben wir ein paar einfache Tipps für Sie zusammengefasst, die Ihnen dabei helfen Ihre Daten besser zu schützen.

  • Werfen Sie immer einen Blick auf die Berechtigungen, die eine App von Ihnen einfordert – der Prozess kann zwar etwas Zeit in Anspruch nehmen, aber zahlt sich im Endeffekt aus, selbst wenn die App millionenfach heruntergeladen wurde. Wenn eine Messaging-App beispielsweise auf Ihren Standort zugreifen möchte, sollten Sie diesen unter keinen Umständen preisgeben. Weitere Informationen zu Android-Berechtigungen finden Sie hier.
  • Erwerben Sie kostenpflichtige App-Versionen. Hier werden keine Anzeigen geschaltet, was wiederum ein geringeres Risiko eines Datenverlusts mit sich bringt. Sie sollten trotzdem beachten, dass auch kostenpflichtige Apps auf Analysemodule von Drittanbietern zurückgreifen können.
  • Nutzen Sie ein VPN: die sichere Verbindung schützt Ihre Daten auch dann, wenn die Entwickler nicht dazu in der Lage sind. Kaspersky Secure Connection könnte genau die richtige Lösung für Sie sein.
Tipps