Apps auf Smartphones und anderen mobilen Endgeräten sind schon lange nicht mehr nur schmückendes Beiwerk. Viele dieser kleinen Anwendungen spielen eine zentrale Rolle in unserem täglichen Leben. Analysten von Gartner sagen voraus, dass in diesem Jahr weltweit über 45 Milliarden Apps heruntergeladen werden, viele weil sie sowohl im privaten als auch im beruflichen Einsatz essenziell sind.
Während Apps unser tägliches Leben vereinfachen, ermöglichen sie es Entwicklern und Werbetreibenden, Informationen über uns und unsere Aktivitäten zu sammeln und daraus Rückschlüsse für ihre eigenen Zwecke zu ziehen. Konsumenten sowie Unternehmen, deren Mitarbeiter diese Applikationen nutzen, sind sich häufig nicht im Klaren darüber, welche persönlichen Informationen sie durch die Nutzung einer App preisgeben. Auch wenn bei der Installation einer Applikationen nach der Erlaubnis des Nutzers gefragt wird, ist vielen nicht bewusst, in welchem Umfang sie dem Datenaustausch zustimmen. Ihnen fehlen oftmals die nötigen Kenntnisse oder die entsprechenden Informationen, um eine fundierte Entscheidung darüber zu treffen, welcher App sie Daten anvertrauen und welcher nicht.
Dabei ist es sehr bedenklich, dass viele Applikationen einen Zugriff auf Daten verlangen, die für die Funktion der App unerheblich sind. Gleichzeitig gibt es nur wenige Erkenntnisse über den Datenschutz in den unterschiedlichen App-Ökosystemen. Um einen besseren Gesamteindruck über den Privatsphäre-Status von Applikationen zu erhalten, hat das Mobile Threat Center (MTC) von Juniper Networks im Zeitraum zwischen März 2011 und September 2012 über 1,7 Millionen Android-Apps analysiert.
Die wichtigsten Erkenntnisse
Juniper fand heraus, dass viele Applikationen sensible Nutzerdaten ausspähen, auf Funktionen des Geräts zugreifen und oftmals auch die direkte Verbindung zum Internet herstellen - sofern sie die Erlaubnis vom Nutzer erhalten. Dadurch können die Anwendungen ermittelte Daten vom Gerät übertragen. Besonders interessant ist, dass kostenlose Apps viel wahrscheinlicher persönliche Daten anzapfen als kostenpflichtige Anwendungen. Kostenlose Programme verfolgen vier Mal so oft den Aufenthaltsort des Nutzers wie kostenpflichtige. Außerdem greifen sie mehr als drei Mal so häufig auf das Adressbuch des Nutzers zu.
In der Branche ist die Annahme weit verbreitet, dass kostenfreie Apps Informationen sammeln, die Drittanbietern dazu dienen, Werbung zu schalten. Diese Annahme trifft aber nur zum Teil zu. Juniper hat 683.238 Anwendungsmanifeste untersucht und herausgefunden, dass die Zahl der gesammelten Daten der Top 5 Werbenetzwerke viel geringer ist, als die Zahl der übermittelten Aufenthaltsorte.
Die Top 5 der unterstützten Werbenetzwerke im Überblick:
Die Wahrscheinlichkeit eines Missbrauchs ist groß
Es gibt allerdings weitaus bedenklichere Aktivitäten, für die Apps um Erlaubnis bitten, als das Sammeln von Nutzerdaten: klammheimliche Anrufe tätigen und Gespräche ausspionieren, SMS senden, um sensible Daten zu übermitteln, oder auf die integrierte Kamera zugreifen, um Fotos und Videoinhalte abzurufen wie neulich mit der Spionagesoftware PLaceRaider bewiesen wurde . All dies sind Dinge, für die Applikationen um Erlaubnis bitten.
Spiele-Apps haben die größten Datenlecks
Bei der Untersuchung hat das MTC von Juniper auch verschiedene Kategorien von Applikationen miteinander verglichen. Dabei fiel auf, dass es vor allem unter den Spiele-Apps einige gibt, die weit mehr Daten des Nutzers anfordern als sie für ihre eigentlichen Funktionen benötigen. Daraufhin hat Juniper die Erlaubnisanfragen der Anwendungen und die Funktionalität dieser Anwendungen gegenübergestellt. Dabei stellte sich heraus, dass Daten oftmals ohne Kenntnis des Nutzers gesammelt werden.
Rennspiele sind die mit Abstand bedenklichsten Anwendungen. Eine ungewöhnlich hohe Zahl dieser Spiele wurde über den Zeitraum unserer Analyse aus dem Markplatz entfernt. Außerdem sind viele dieser Applikationen vom MTC als Malware eingestuft worden.
Die Spiele-Apps mit den zweifelhaftesten Datenabfragen sind:
Karten- und Casinospiele
Die Studie brachte auch einige Kenntnisse zur Rechtmäßigkeit bestimmter Funktionalitäten zum Vorschein. Identifiziert wurden Fälle, in denen das Sammeln von Daten oder der Zugriff auf bestimmte Funktionen gerechtfertigt war, obwohl die Gründe dafür nicht auf den ersten Blick erkennbar waren.
Die Analyse des Google Play Stores hat gezeigt, dass Anwendungen in Zukunft besser darauf hinweisen sollten, warum sie Zugriff auf bestimmte Daten oder Funktionen des Geräts verlangen. Dabei sollte der Vorteil des Nutzers immer im Fokus stehen. Endnutzer und Unternehmen sollten sich immer zuerst darüber informieren, welche vertraulichen Daten von Applikationen abgefragt werden.
Außerdem hat Juniper Networks einige Ansätze zusammengetragen, die von der Branche in Betracht gezogen werden sollten, um in Zukunft transparenter mit dem Thema Datenschutz umzugehen:
Die Studie wurde für den Android Market durchgeführt. Apple legt keine Informationen über seine Apps offen. Daher sollten Fragen bezüglich des Apple App Stores sowie zu Datenschutz-Statistiken direkt an Apple gerichtet werden.
Diese Untersuchung wurde mit Hilfe folgender Mittel durchgeführt:
Während Apps unser tägliches Leben vereinfachen, ermöglichen sie es Entwicklern und Werbetreibenden, Informationen über uns und unsere Aktivitäten zu sammeln und daraus Rückschlüsse für ihre eigenen Zwecke zu ziehen. Konsumenten sowie Unternehmen, deren Mitarbeiter diese Applikationen nutzen, sind sich häufig nicht im Klaren darüber, welche persönlichen Informationen sie durch die Nutzung einer App preisgeben. Auch wenn bei der Installation einer Applikationen nach der Erlaubnis des Nutzers gefragt wird, ist vielen nicht bewusst, in welchem Umfang sie dem Datenaustausch zustimmen. Ihnen fehlen oftmals die nötigen Kenntnisse oder die entsprechenden Informationen, um eine fundierte Entscheidung darüber zu treffen, welcher App sie Daten anvertrauen und welcher nicht.
Dabei ist es sehr bedenklich, dass viele Applikationen einen Zugriff auf Daten verlangen, die für die Funktion der App unerheblich sind. Gleichzeitig gibt es nur wenige Erkenntnisse über den Datenschutz in den unterschiedlichen App-Ökosystemen. Um einen besseren Gesamteindruck über den Privatsphäre-Status von Applikationen zu erhalten, hat das Mobile Threat Center (MTC) von Juniper Networks im Zeitraum zwischen März 2011 und September 2012 über 1,7 Millionen Android-Apps analysiert.
Die wichtigsten Erkenntnisse
Juniper fand heraus, dass viele Applikationen sensible Nutzerdaten ausspähen, auf Funktionen des Geräts zugreifen und oftmals auch die direkte Verbindung zum Internet herstellen - sofern sie die Erlaubnis vom Nutzer erhalten. Dadurch können die Anwendungen ermittelte Daten vom Gerät übertragen. Besonders interessant ist, dass kostenlose Apps viel wahrscheinlicher persönliche Daten anzapfen als kostenpflichtige Anwendungen. Kostenlose Programme verfolgen vier Mal so oft den Aufenthaltsort des Nutzers wie kostenpflichtige. Außerdem greifen sie mehr als drei Mal so häufig auf das Adressbuch des Nutzers zu.
- 24,14 Prozent der kostenlosen Apps verlangen die Erlaubnis, den Aufenthaltsort des Nutzers zu verfolgen, während nur 6,01 Prozent der kostenpflichtigen Anwendungen darauf bestehen.
- 6,72 Prozent der kostenlosen Apps greifen auf das Adressbuch des Nutzers zu, während nur 2,14 Prozent der kostenpflichtigen Anwendungen dies tun.
- 2,64 Prozent der kostenlosen Apps haben die Freigabe, unbemerkt vom Nutzer Textnachrichten zu verschicken, nur 1,45 Prozent der kostenpflichtigen Anwendungen ist dies gestattet.
- 5,53 Prozent der Gratis-Apps haben die Erlaubnis auf die Kamera des jeweiligen Endgeräts zuzugreifen, 2,11 Prozent der kostenpflichtigen Anwendungen verlangen diesen Zugriff.
In der Branche ist die Annahme weit verbreitet, dass kostenfreie Apps Informationen sammeln, die Drittanbietern dazu dienen, Werbung zu schalten. Diese Annahme trifft aber nur zum Teil zu. Juniper hat 683.238 Anwendungsmanifeste untersucht und herausgefunden, dass die Zahl der gesammelten Daten der Top 5 Werbenetzwerke viel geringer ist, als die Zahl der übermittelten Aufenthaltsorte.
Die Top 5 der unterstützten Werbenetzwerke im Überblick:
- 0,75 Prozent der Apps unterstützen AdMob Ads
- 4,10 Prozent der Apps unterstützen AirPush Network Ads
- 1,51 Prozent der Apps unterstützen Millenial Media Ads
- 0,32 Prozent der Apps unterstützen AdWhirl
- 2,34 Prozent der Apps unterstützen Leadbolt Ad Network Ads
Die Wahrscheinlichkeit eines Missbrauchs ist groß
Es gibt allerdings weitaus bedenklichere Aktivitäten, für die Apps um Erlaubnis bitten, als das Sammeln von Nutzerdaten: klammheimliche Anrufe tätigen und Gespräche ausspionieren, SMS senden, um sensible Daten zu übermitteln, oder auf die integrierte Kamera zugreifen, um Fotos und Videoinhalte abzurufen wie neulich mit der Spionagesoftware PLaceRaider bewiesen wurde . All dies sind Dinge, für die Applikationen um Erlaubnis bitten.
Spiele-Apps haben die größten Datenlecks
Bei der Untersuchung hat das MTC von Juniper auch verschiedene Kategorien von Applikationen miteinander verglichen. Dabei fiel auf, dass es vor allem unter den Spiele-Apps einige gibt, die weit mehr Daten des Nutzers anfordern als sie für ihre eigentlichen Funktionen benötigen. Daraufhin hat Juniper die Erlaubnisanfragen der Anwendungen und die Funktionalität dieser Anwendungen gegenübergestellt. Dabei stellte sich heraus, dass Daten oftmals ohne Kenntnis des Nutzers gesammelt werden.
Rennspiele sind die mit Abstand bedenklichsten Anwendungen. Eine ungewöhnlich hohe Zahl dieser Spiele wurde über den Zeitraum unserer Analyse aus dem Markplatz entfernt. Außerdem sind viele dieser Applikationen vom MTC als Malware eingestuft worden.
Die Spiele-Apps mit den zweifelhaftesten Datenabfragen sind:
Karten- und Casinospiele
- 94 Prozent der Applikationen in dieser Kategorie haben die Erlaubnis, Anrufe zu tätigen, ohne dass klar ist, warum sie das können müssen.
- 83,88 Prozent der kostenlosen Spiele dieser Kategorie erlauben den Zugriff auf die Kamera des Endgeräts, ohne dass beschrieben würde wie die Kamera von der Anwendung genutzt wird.
- 84,51 Prozent der kostenfreien Apps haben die Möglichkeit, SMS zu verschicken, ohne anzugeben, warum diese Funktion notwendig ist.
- 99 Prozent der kostenpflichtigen und 92,42 Prozent der kostenlosen Rennspiele haben die Erlaubnis, SMS vom Gerät des Nutzers zu versenden, ohne eine Erklärung für Notwendigkeit dieser Funktion zu liefern.
- 50 Prozent der kostenlosen Apps in dieser Kategorie haben die Erlaubnis, die Kamera des Endgeräts zu nutzen, ohne dass der Hersteller eine Begründung dafür liefert.
- 94,54 Prozent der Anwendungen haben die Erlaubnis Anrufe zu tätigen, ohne zu beschreiben, welche Rechtfertigung es dafür gibt.
Die Studie brachte auch einige Kenntnisse zur Rechtmäßigkeit bestimmter Funktionalitäten zum Vorschein. Identifiziert wurden Fälle, in denen das Sammeln von Daten oder der Zugriff auf bestimmte Funktionen gerechtfertigt war, obwohl die Gründe dafür nicht auf den ersten Blick erkennbar waren.
- Einige Karten- und Casinospiele eines bestimmten Entwicklers waren in der Lage, auf die Kamera des Geräts zuzugreifen. Weder bei näherer Betrachtung der App-Beschreibung, noch nach der Installation der Anwendung fand sich eine Begründung für diese Funktion. Auf Nachfrage erklärte der Entwickler, dass es in der Premiumversion der Applikation für den Nutzer die Möglichkeit gebe, ein Foto aufzunehmen, um es als Hintergrund zu verwenden. Dieser Nutzen ist logisch und gerechtfertigt, wurde allerdings nicht eindeutig kommuniziert. Der Nutzer hat nicht die Möglichkeit, diese Funktion nachzuvollziehen.
- Bei der ursprünglichen Recherche war es bedenklich, dass 12,51 Prozent der kostenlosen Finanz-Apps direkte Anrufe ohne Zwischenschritt über die Wahloberfläche ermöglichen. Das gilt insbesondere deshalb, weil 63,19 Prozent dieser Anwendung keine Erklärung für diese Funktion lieferten. Allerdings stellte sich nach der Installation heraus, dass diese Funktion rechtmäßig ist. Die Applikationen ermöglichen es dem Nutzer, lokale Finanzinstitutionen direkt über die Applikation anzurufen.
Die Analyse des Google Play Stores hat gezeigt, dass Anwendungen in Zukunft besser darauf hinweisen sollten, warum sie Zugriff auf bestimmte Daten oder Funktionen des Geräts verlangen. Dabei sollte der Vorteil des Nutzers immer im Fokus stehen. Endnutzer und Unternehmen sollten sich immer zuerst darüber informieren, welche vertraulichen Daten von Applikationen abgefragt werden.
Außerdem hat Juniper Networks einige Ansätze zusammengetragen, die von der Branche in Betracht gezogen werden sollten, um in Zukunft transparenter mit dem Thema Datenschutz umzugehen:
- Datenabfragen an die Funktionalität der App anpassen: Nur über die Tatsache zu informieren, dass Anwendungen den Zugriff auf bestimmte Nutzerdaten und Funktionen des Geräts brauchen, reicht nicht aus. In diesem Kontext ist es wichtig zu erläutern, wie die Anwendung funktioniert. Es muss ein Bezug zwischen den benötigten Daten und der Funktionsweise der Applikation hergestellt werden, damit der Verbraucher die Zusammenhänge nachvollziehen kann.
- Bessere Differenzierung zwischen Genehmigungen: Es gibt einen riesigen Unterschied zwischen einer Spionage-App, die Anrufe initiieren kann, um Gespräche abzuhören, und einer Finanz-App, die es ermöglicht, direkt über die Anwendung eine lokale Bank-Filiale anzurufen. Doch so wie die Erlaubnisanfragen aktuell gestaltet sind, ist es für den Nutzer schwer, diesen Unterschied zu erkennen. Um diese Situation zu verbessern müssen Genehmigungsanfragen entwickelt werden, die eine klare Differenzierung auf den ersten Blick möglich machen.
- Mehr Akzeptanz für die Preisgabe von Daten an kostenlose Apps: Anwender, die kostenlose Apps auf ihren mobilen Endgeräten nutzen, müssen sich darüber im Klaren sein, dass sie im Gegenzug bestimmte Daten freigeben. Oftmals ist der zusätzliche Nutzen einer kostenlosen Applikation mit dem Wert der preisgegeben Daten gleichwertig. Allerdings sind sich die Verbraucher nicht darüber im Klaren, in welchem Umfang Daten übermittelt werden, und handeln daher unüberlegt. Eindeutige und verständliche Angaben darüber, wieso bestimmte Daten benötigt werden, sind daher wünschenswert. Sie würden erheblich zum Dialog zwischen Nutzern und Anbietern beitragen.
- Aufklärung statt Anfragen: Nutzern helfen zu verstehen was auf ihren Endgeräten mit ihren persönlichen Daten passiert ist mit Sicherheit mehr Wert, als eine Liste von Erlaubnis-Anfragen. Je besser ein Nutzer über die Zusammenhänge informiert ist, umso eher wird er sich im Umgang mit einer App wohlfühlen. Zu viele Anfragen wirken eher abschreckend.
Die Studie wurde für den Android Market durchgeführt. Apple legt keine Informationen über seine Apps offen. Daher sollten Fragen bezüglich des Apple App Stores sowie zu Datenschutz-Statistiken direkt an Apple gerichtet werden.
Diese Untersuchung wurde mit Hilfe folgender Mittel durchgeführt:
- Statistische Analyse von Meta-Daten der Applikation zur Festlegung von Erlaubnisanfragen, die von kostenfreien und kostenpflichtigen Applikationen verschiedener Kategorien gestellt werden.
- Analyse von Beschreibungen der Applikationen, um zu überprüfen, ob und in welchem Maße Erläuterungen für entsprechende Daten- oder Funktionszugriffe gegeben werden.
- Statistische Analyse von Anwendungsmanifesten, um Erlaubnisanfragen in Verhältnis zur Nutzung von AdNet zu setzen.
- Manuelle Installation und Recherche von Applikationen zur weiteren Untersuchung der Kernergebnisse und zur Bestätigung der Studienmethodik.
