Android-Studie: Apps verschicken heimlich Screenshots
Forscher haben in Android-Apps nach Hinweisen auf heimliche Audio-Aufzeichnungen gesucht – und sind dabei auf eine andere, nicht weniger erschreckende, Praxis gestoßen.
Das Gerücht, Smartphones würden heimlich Gespräche aufzeichnen und die daraus gewonnen Daten würden für Werbezwecke genutzt, hält sich hartnäckig. Forscher der Northeastern University in Boston wollten dem in einer Studie auf den Grund gehen.
Sie untersuchten für ihre Studie mehr als 17.000 beliebte Android-Apps darauf, ob diese heimlich Audio-Aufnahmen machen oder Medien-Dateien versenden. Rund 9.000 der Apps hatten die Berechtigung, auf Kamera und Mikrofon des Smartphones zuzugreifen. Zu den untersuchten Apps zählten auch die von Facebook sowie mehr als 8.000 Apps, die Daten an Facebook übertragen.
Bei ihren Experimenten konnten die Forscher zwar keine Beweise dafür finden, dass die Apps unerwartet das Mikrofon aktivierten oder Audio-Dateien versendeten. Sie entdeckten aber stattdessen eine andere Praxis bei manchen Apps: Diese zeichneten den Bildschirminhalt auf und versendeten diese Aufnahmen, ohne dass der Nutzer etwas davon bemerken würde. Für dieses Vorgehen brauchten die Apps nicht einmal eine Berechtigung durch den Nutzer.
Bildschirmaufzeichnung durch Analyse-Tool
Bei genauem Hinsehen mag das Verhalten der Apps zwar nachvollziehbar sein, aber zumindest die Umsetzung ist mitunter problematisch. Als Beispiel wird die App GoPuff genannt, die zu einem Lieferdienst gehört. Die App nutzt eine Analyse-Software der Firma AppSee. Die Interaktion mit der App wurde aufgezeichnet und an AppSee geschickt. Das versendete Video enthielt wohl auch persönliche Informationen, die in die App eingegeben wurden, in diesem Fall eine Postleitzahl.
AppSee selbst wirbt damit, dass ihre Software das Verhalten von Nutzern innerhalb einer App zu Analysezwecken aufzeichnen kann. Entwickler können aber Teile ihrer Apps, die Nutzerdaten enthalten, markieren und von der Aufzeichnung ausschließen. Auch müssen die Entwickler die Nutzer ihrer App darauf hinweisen, dass die Analyse-Software zum Einsatz kommt. Das hat GoPuff in diesem Fall anscheinend nicht getan. Ein entsprechender Hinweis in der Datenschutzerklärung wurde laut Gizmodo erst hinzugefügt, nachdem GoPuff von den Forschern kontaktiert worden war.
Mittlerweile hat GoPuff die Analyse-Software aus ihrer App entfernt. AppSee hat ebenfalls alle von dieser App gesammelten Daten gelöscht. Google selbst arbeitet mit den Entwicklern zusammen, um sicherzugehen, dass die Nutzer ausreichend informiert werden. Im Google Play Store müsse angegeben werden, wie Nutzerdaten gesammelt werden.
Bildschirmaufzeichnung ohne Kenntnis der Nutzer
Aus Sicht der App-Entwickler ist die Nutzung einer Analyse-Software zur Optimierung ihrer App durchaus nachvollziehbar. Der Fall zeigt aber deutlich, welche Risiken dahinter stecken können. Eine Aufzeichnung des Smartphone-Bildschirms kann schließlich auch Passwort-Eingaben oder andere sensible Daten enthalten. Problematisch ist dabei auch, dass die Aufzeichnung ohne jegliche Kenntnis des Nutzers stattfindet. Das kann durchaus auch von Malware ausgenutzt werden.
Zur heimlichen Nutzung des Mikrofons wollen die Forscher im Übrigen auch keine endgültige Entwarnung geben. Es könne, dass das Umfeld, in dem die Apps bei den Experimenten genutzt wurden, einfach keine Aufzeichnung ausgelöst hat. Auch wurde nicht untersucht, ob etwa Audio-Aufzeichnungen vor einem möglichen Versand in Text umgewandelt wurden. Somit können wir weiterhin nicht sicher sein, ob und wie sehr uns unsere Smartphones tatsächlich ausspionieren.
6.7.2018 von Gabriele Fischl
Quelle: Android-Studie: Apps verschicken heimlich Screenshots - connect