Studie: Über 50 Prozent der iPhone-Apps hilft beim Spionieren von Nutzerdaten

Manuel Egele von der TU Wien und drei Forscherkollegen haben jetzt herausgefunden, dass über die Hälfte von rund 1.400 untersuchten iPhone-Apps die jeweilige Gerätenummer an App-Entwickler oder Werbefirmen übermitteln. Dadurch lässt sich relativ leicht herausfinden, wem das iPhone gehört und was der Nutzer damit macht.

Das Forscherteam untersuchte in der Studie insgesamt 1407 Apps: 825 offiziell von Apple genehmigte aus dem App Store und 582, die via Cydia erhältlich sind. Dieser Dienst erlaubt, auch von Apple nicht autorisierte Apps von Drittanbietern zu laden, nachdem man sein iPhone einem so genannten Jailbreak unterzogen hat (Jailbreak-/Unlock-Übersicht). Über Cydia sind beispielsweise von Apple zurückgewiesene Apps wie WikiLeaks nach wie vor erhältlich.

Die Privatsphäre gilt für die Forscher als verletzt, wenn eine App sensible Daten ausliest und ohne Zustimmung des Nutzers über das Netz weitergibt. Darunter fallen laut Studie: Adressen, Ortskoordinaten, die Gerätenummer, Informationen über E-Mail-Konten und Telefonate, der Nutzungsverlauf von YouTube und dem Safari-Browser sowie der Zwischenspeicher der virtuellen Tastatur. Die Untersuchung ergab, dass 55 Prozent der insgesamt 1407 untersuchten iPhone-Apps die jeweilige Gerätenummer an App-Entwickler oder Werbefirmen übermitteln.

Apps geben Namen weiter

Die Übertragung der Gerätenummer wird insbesondere dann heikel, wenn diese mit anderen Daten verknüpft wird. „Es gibt zum Beispiel Apps, bei der die Datenbank von Facebook eingebunden wird, so dass man seinen Status automatisch updaten kann“, erklärt Manuel Egele im Gespräch mit Futurezone.at. Diese Funktion dient etwa bei Spielen dazu, seine Highscores mit Freunden zu teilen und zu vergleichen. „Wenn man diese Daten miteinander kombiniert, können Werbeunternehmen Persönlichkeitsprofile erstellen, weil sie über einen mächtigen Pool an Daten verfügen“, so Egele. Es lässt sich also relativ einfach heraus finden, wem das iPhone – auch namentlich – gehört und was der Nutzer damit macht.

Die Gruppe von Informatikern aus Österreich, Frankreich und den USA hat für die Studie eine Software entwickelt, die analysiert, ob und wie iPhone-Apps auf verschiedenen Ebenen sensible Daten weitergeben. “PiOS dient dazu, Dinge aufzudecken, die Apple übersehen hat”, erklärt Egele, der nicht ausschließt, das Programm zu veröffentlichen.

Unangenehm aufgefallen ist dem Team auch der US-Lokalisierungsdienst Gowalla (kostenlos, iPhone App-Link). Er überträgt ungefragt das gesamte Adressbuch des Nutzers an die internen Server. Eine Beschwerde an Apple führt laut Egele lediglich zur Reaktion, man möge sich direkt an die App-Entwickler wenden. „Das ist schwer einzusehen, denn schließlich rühmt sich Apple damit, strenge Sicherheitschecks zu absolvieren“, so Egele, der auch kritisiert, dass praktisch nichts öffentlich über den Sicherheitsüberprüfungsprozess von Apple bekannt sei.

Kombinations-Lösung

Es gibt aber auch eine gute Nachricht:  Nur 36 Apps griffen sofort auf die Ortsdaten des Nutzers zu, ohne diesen darüber zu informieren. Und nur fünf Apps durchforsteten ungefragt dessen Adressbuch. Im Vergleich zum streng kontrollierten App Store schnitten die Apps über Cydia nicht schlechter ab – im Gegenteil: Während 21 Prozent der Apps aus dem App Store die Gerätenummer übertragen haben, taten dies nur vier Prozent der Cydia Apps. “Das war für uns eine große Überraschung”, so Egele. Seine Erklärung: “Es gibt kaum gejailbreakte iPhones und somit ist der Cydia Store kein Hauptziel für Leute, die bösartige Apps verteilen wollen.”

Egele ist der Ansicht, dass es für Apple relativ einfach wäre, die Privatsphäre von iPhone-Nutzern besser zu schützen. „Man braucht keine Gerätenummer zu übertragen. Stattdessen wäre es sinnvoll, wenn es eine Kombination aus Geräte- und App-Nummer gibt“, so Egele. „Das heißt, dass die Geräte-ID, die an ein Programm übermittelt wird, für jede App anders sein sollte.“ Die Gruppe wird ihre Studie kommende Woche auf dem Network and Distributed System Security Symposium in San Diego vorstellen.

Keine justapps.de-Nachricht mehr verpassen. – Folgen Sie uns auf Facebook, Twitter oder abonnieren Sie unseren RSS-Feed!