Android-Apps sammeln Benutzerdaten, selbst nachdem die Berechtigung verweigert wurde

Über 1.000 Android-Apps ernten Ihre Daten ohne Erlaubnis

Eine neue Forschungsstudie hat ergeben, dass mehr als 1.000 Android-Apps, die im Google Play Store verfügbar sind, Berechtigungen verletzt haben, um private Daten wie Nachrichten, Anrufprotokolle, Fotos und mehr zu stehlen.

Forscher des International Computer Science Institute (ICSI) der UC Berkeley, die die Forschung durchgeführt haben, testeten 88.000 Apps aus dem US-amerikanischen Google Play Store und fanden heraus, dass 1.325 Apps Informationen über Geolokalisierungsdaten und Telefonidentifikatoren sammelten.

Verwandt - 10 der besten kostenlosen Android-Apps

Die auf der Website der Federal Trade Commission (FTC) veröffentlichte Studie nannte 153 Apps, darunter Samsung Health, den Browser von Samsung, Shutterfly und die App des Hong Kong Disneyland Parks von Disney, die Daten ohne ausdrückliche Berechtigungen sammelten.

„Moderne Smartphone-Plattformen implementieren berechtigungsbasierte Modelle, um den Zugriff auf sensible Daten und Systemressourcen zu schützen. Apps können jedoch das Berechtigungsmodell umgehen und auf geschützte Daten ohne Zustimmung des Benutzers zugreifen, indem sie sowohl verdeckte als auch Seitenkanäle nutzen“, schrieben die Forscher in einem umfassenden Bericht.

„Seitenkanäle, die in der Implementierung des Berechtigungssystems vorhanden sind, ermöglichen es Apps, auf geschützte Daten und Systemressourcen ohne Erlaubnis zuzugreifen; während verdeckte Kanäle die Kommunikation zwischen zwei kolludierenden Apps ermöglichen, sodass eine App ihre berechtigungsgeschützten Daten mit einer anderen App ohne diese Berechtigungen teilen kann. Beide stellen Bedrohungen für die Privatsphäre der Benutzer dar.“

Zum Beispiel fanden die Forscher heraus, dass Shutterfly – die Foto-Sharing-Website, die zum Bearbeiten von Fotos verwendet wird – GPS-Daten von Mobiltelefonen sammelte und an ihre eigenen Server sendete, unabhängig davon, ob die Benutzer der App die Berechtigung zum Zugriff auf Standortdaten gewährt oder verweigert hatten.

„Wie viele Fotoservices verwendet Shutterfly diese Daten, um das Benutzererlebnis mit Funktionen wie Kategorisierung und personalisierten Produktvorschlägen zu verbessern, alles gemäß der Datenschutzrichtlinie von Shutterfly sowie dem Entwicklervertrag von Android“, sagte das Unternehmen in einer Erklärung als Antwort auf die Studie und stellte klar, dass es nur GPS-Daten von denen sammelt, die ihm die Erlaubnis geben.

Im Fall von Hong Kong Disneyland wurde festgestellt, dass die App die SD-Karte als verdeckten Kanal verwendete, um die IMEI-Informationen des Telefons zu speichern. Obwohl 13 Apps gefunden wurden, die diesen verdeckten Kanal ausnutzten, um die IMEI-Informationen zu erhalten, wurden diese Apps mehr als 17 Millionen Mal installiert.

„Die Anzahl der potenziellen Benutzer, die von diesen Ergebnissen betroffen sind, liegt im Hundert-Millionen-Bereich. Diese täuschenden Praktiken ermöglichen es Entwicklern, auf die privaten Daten der Benutzer ohne Zustimmung zuzugreifen, untergraben die Privatsphäre der Benutzer und werfen sowohl rechtliche als auch ethische Bedenken auf“, schrieben die Forscher.

„Datenschutzgesetze auf der ganzen Welt – einschließlich der Datenschutz-Grundverordnung (DSGVO) in Europa, des California Consumer Privacy Act (CCPA) und Verbraucherschutzgesetze wie dem Federal Trade Commission Act – setzen Transparenz in den Praktiken der Datensammlung, -verarbeitung und -weitergabe von mobilen Anwendungen durch.“

Die Forscher, die ihre Ergebnisse im September letzten Jahres an Google gemeldet hatten, sagen, dass einige von ihnen im kommenden Android Q-Betriebssystem, das für dieses Jahr geplant ist, behoben werden könnten. Das bedeutet, dass mehrere ältere Smartphone-Benutzer, die die Android Q-Updates nicht erhalten, weiterhin mit dem Problem konfrontiert sein werden, was ihre Geräte anfällig macht.

Verwandt - Microsoft injiziert Werbung, um seine anderen Apps in Android zu installieren

„Indem wir diese Praktiken aufdecken und unsere Daten öffentlich machen, hoffen wir, ausreichende Daten und Werkzeuge für Regulierungsbehörden bereitzustellen, um Durchsetzungsmaßnahmen zu ergreifen, der Industrie zu helfen, Probleme zu identifizieren und zu beheben, bevor Apps veröffentlicht werden, und den Verbrauchern zu ermöglichen, informierte Entscheidungen über die Apps zu treffen, die sie verwenden“, sagten die Forscher.

Die Forscher schlagen vor, dass Google diese Datenschutzprobleme als ernsthafte Sicherheitsanfälligkeiten betrachten und die Funktionsweise der Berechtigungen verbessern sollte.

Auch lesen - Beste kostenlose Antivirenprogramme für Android-Smartphones