Würdest du einem Fremden erlauben, dein Adressbuch zu lesen, Aufzeichnungen deiner Stimme zu machen und permanent zu überprüfen, wo du gerade steckst? Nein, natürlich nicht, das geht ja gar nicht! Wer eine neue App auf seinem Smartphone installiert, muss oft beim ersten Start genau solche Ansinnen abwehren, denn Apps wollen immer häufiger die Position des Gerätes abrufen, Kontakte und Nachrichten mitlesen, sogar Audioaufnahmen anfertigen oder E-Mails mitlesen.
Insbesondere kostenlose Apps verlangen dabei zum Teil Rechte, die so gar nichts mit der Funktion der App zu tun haben – etwa, wenn ein Strategiespiel plötzlich den Standort des Gerätes wissen will oder eine Fitness-App Kontakte auslesen möchte. Deswegen hat Google in den Android-Updates der vergangenen zwei Jahre den Zugriff der Apps auf die Privatsphäre der Nutzer immer weiter eingeschränkt. Wer einer neuen App mit Schnüffelambitionen bei der Installation deutlich „Nein“ auf die Frage nach Standortzugriff, Kontakten oder Mikrofonzugang sagt, der darf damit rechnen, dass das Telefon seine Geheimnisse für sich behält.
Programmierer nutzen Android-Schwäche aus
Doch laut einer Studie, die Forscher der Universitäten Calgary, Berkeley und Madrid veröffentlicht haben, ist es App-Programmierern von potenziell 1.300 Apps gelungen, das Veto ihrer Nutzer zu umgehen. Dabei nutzen sie eine Schwäche von Androids Berechtigungsmanagement aus: Mobile Apps basieren oftmals auf den gleichen Grundlagen, auf sogenannten Software Development Kits (SDKs). Diese Kits funktionieren wie Baukästen – App-Programmierer müssen damit nicht mehr jede Funktion jedes Mal neu schreiben, sondern können eine App aus vorgeschriebenen Codebausteinen zusammensetzen.
SDKs gibt es von verschiedensten Anbietern – von Google selbst, von Smartphoneherstellern wie Samsung und von Internetkonzernen wie der chinesischen Suchmaschine Baidu. Baidus SDK ist sehr populär, es wird von Giganten wie Disney oder Samsung ebenso genutzt wie von Hunderten kleinen App-Anbietern.
Das SDK erlaubt laut den Forschern den Programmierern jedoch, Daten zwischen Apps zu teilen. Der Trick dabei ist, dass Apps aus demselben Baidu-SDK Daten an derselben Stelle im Speicher des Smartphones ablegen. Wer also einer App eines Anbieters wie etwa Disney den Standortzugriff auf dem Telefon erlaubt, schaltet die Positionsdaten unwissentlich auch für andere Apps frei, die mit demselben Baidu-SDK programmiert wurden.
Standortdaten lassen sich gut monetarisieren
Für die Anbieter von kostenlosen Apps ist der Zugriff auf die Nutzerdaten die einfachste Möglichkeit, mit ihren Apps mehr Geld zu verdienen: Das Wissen um den Standort des Nutzers macht Werbeanzeigen in der App wertvoller, da sie entsprechend angepasst werden können. Der Zugriff auf Kontaktdaten kann Spam ermöglichen, der Einblick in die Kurznachrichten-Kommunikation sogar Betrug – etwa wenn Banking-SMS abgefangen werden können.
Die Schwäche wurde Google bereits im vergangenen Jahr gemeldet, doch erst in der im Herbst kommenden Version von Android, die unter dem Codenamen Q in der Testphase läuft, wird die Schwäche komplett beseitigt. Das bedeutet allerdings noch lange nicht, dass damit allen Anwendern geholfen wird: Viele ältere Smartphones werden das neueste Android gar nicht erst bekommen, da die Hersteller den Support eingestellt haben.
Kamera-App ermittelt Geodaten der Nutzer
Die Forscher untersuchten in ihrer Studie über 88.000 Apps in Googles App-Store, die bei der Installation nach erweiterten Zugriffsrechten gefragt haben. Viele Apps umgehen das Veto der Nutzer auch auf andere Weise. So entdeckten die Forscher, dass eine populäre Kamera-App die Positionsdaten der Nutzer aus den Fotodateien ermittelte und an externe Server übermittelte. Andere Apps ermittelten die Position des Nutzers aus öffentlich bekannten WLAN-Namen oder aus MAC-Adressen von Routern. Für Anwender mit Privatsphäre-Bewusstsein lohnt es sich, regelmäßig zu prüfen, welche Apps mit welchen Berechtigungen auf ihrem Smartphone installiert wurden.
Oftmals klicken Nutzer bei der Erstinstallation eines Programmes hastig durch sämtliche Berechtigungsanfragen und vergessen dann, welchen Apps sie was erlaubt haben. Wird eine App nicht mehr häufig benötigt oder ergibt sich im Nachhinein nicht, warum sie etwa auf die Position des Nutzers zugreifen sollte, dann kann man Berechtigungen einfach widerrufen.
Auf einem aktuellen Android-Gerät ist die Liste aller Berechtigungen hier zu finden: Unter Einstellungen auf „Apps und Benachrichtigungen“, dann unter „Erweitert“ auf „App-Berechtigungen“ klicken. Dort ist jede App mit ihren Zugriffsrechten gelistet. Wer sich nicht sicher ist, warum eine App bestimmte Daten haben möchte, sollte den Zugriff im Zweifelsfalle entziehen.
Dieser Artikel erschien zuerst bei Welt.de.