News vom 19.04.2018

App-Module als Sicherheitsrisiko

Ein Artikel von , veröffentlicht am 19.04.2018

Wenn Apps Nutzerdaten unsicher verschicken, geht das oft nicht auf eine bewusste Entscheidung der App-Entwickler zurück. Stattdessen gelangen Sicherheitslücken über externe Module in die Anwendung. Das IT-Sicherheitsunternehmen Kaspersky hat das Phänomen bei Android-Apps untersucht.

Das IT-Sicherheitsunternehmen Kaspersky hat den Datenverkehr von 13 Millionen Android-Anwendungen analysiert. Das Ergebnis: Etwa ein Drittel der getesteten Apps übertragen Daten über unsichere Verbindungen auf Basis des veralteten HTTP-Protokolls.

HTTPS schützt die Datenübertragung

Das Protokoll HTTPS verschlüsselt den Datenverkehr von Apps wie auch von Webseiten. Das ist besonders dann wichtig, wenn die Angebote Informationen übermitteln, mit denen sich Nutzer identifizieren oder charakterisieren lassen. Das gilt etwa für technische Daten wie die eindeutige IMEI-Nummer oder die Android-ID und für sehr private Informationen wie das Geschlecht, das Alter oder den Standort von Nutzern. Bei einer HTTPS-Übertragung können unbefugte Dritte den Datenverkehr nicht so leicht einsehen oder gar manipulieren.

Wie die Verschlüsselung von Datenverkehr funktioniert, erläutern wir im Beitrag TLS/SSL: Fragen und Antworten.

Das Problem: Auch Anwendungen, die den Datenverkehr grundsätzlich per HTTPS verschlüsseln, verschicken immer wieder auch unverschlüsselt Daten über das unsichere HTTP-Protokoll.

Manchmal geht das auf Fehler der App-Entwickler zurück, oft aber auf externe Module. Gemeint sind damit fertige Software-Bausteine, auch SDKs (Software Development Kits) genannt, die von zum Beispiel von Analyse- oder Werbedienstleistern bereitgestellt werden. Entwickler bauen diese fertigen Module in ihre App ein, um verschiedene Funktionen zu nutzen, die für Apps praktisch sind: das Auswerten automatisierter Fehlermeldungen, die Analyse von Nutzeraktivitäten oder die Anbindung an ein Werbenetzwerk.

Werbenetzwerk-Module beispielsweise sammeln Nutzerdaten in der App und übermitteln sie an die Datenbanken der Werbenetzwerke. Diese werten sie aus und spielen passende personalisierte Werbung auf die Geräte der App-Nutzer.

In einem Mobilsicher-Hintergrundtext erklären wir, was SDK-Module sind und welche Typen es gibt: App-Tracking: Was sind Module in Android-Apps?

Entwickler greifen gern auf solche SDKs zurück. Bei einer älteren Analyse von Dating-Apps zählte Kaspersky durchschnittlich mindestens 40 eingebaute Module pro App.

Alte Bekannte

In der aktuellen Modul-Studie beobachtete Kaspersky bei jeder vierten der 13 Millionen analysierten Android-Apps unsicheren Datenverkehr. Die Auswertung verrät nicht, in welchen Apps diese Module beobachtet wurden. Es heißt aber, dass auch Apps mit mehr als 100 Millionen Downloads betroffen sind.

Es gibt jedoch eine Liste mit Webadressen, zu denen die analysierten Apps besonders häufig unsichere Verbindungen aufgebaut haben. Die Domains gehören zu Werbenetzwerken oder zu Analysediensten:

  • MoPub.com
  • Rayjump.com
  • Appsgeyser
  • Nexage.com
  • Quantumgraph.com

Einige der Module begegnen uns regelmäßig auch in unseren App-Tests. Das Modul von MoPub beispielsweise fanden wir in den Tests von Loovo, MyFitnessPal, Wetter.com und Shazam. Rayjump fanden wir in unserem App-Test zu Clean Master.

Unsichere Verbindungen in sicheren Apps

Das Problem, zu dem Kaspersky Zahlen vorgelegt hat, ist bekannt. Die Entwicklung von Apps ist komplex, und die ausführenden Entwickler stehen unter großen Zeit- und Kostendruck. Deswegen entscheiden sich Unternehmen oft dafür, Funktionen über fertige Module einzubauen.

Das ist ein Datenschutzproblem, da sich auf die Art Nutzerinformationen aus vielen Apps bei wenigen Anbietern ballen. Zusätzlich wird es noch zu einem Problem für die Datensicherheit: Die Apps selbst verschlüsseln ihren Datenverkehr vorbildlich nach dem aktuellen Stand der Technik – die Unternehmen nehmen aber in Kauf, dass externe Module dieses Sicherheitskonzept faktisch unterwandern.

Auf der Webseite des Unternehmens AppBrain können Sie sich anzeigen lassen, welche Module in Apps enthalten sind. Geben Sie den Namen der App in das Suchfeld ein. Eine Liste der enthaltenen Modulen finden Sie auf der Ergebnisseite unter dem Punkt „Libraries“. Die Zahl der kostenlosen Abfragen pro Tag ist allerdings begrenzt.

Mehr zum Thema bei mobilsicher.de

  • Im Artikel "App-Tracking: Was sind Module in Android-Apps?" bekommen Sie einen Überblick über App-Module und erfahren, welche Typen es gibt und wo die Probleme liegen.
  • Der Artikel „In Text „App-Module vorgestellt“ stellen wir vier in Kurzportraits verschiedene SDK-Anbieter vor, unter anderem MoPub.
  • Der Ratgeber „Schnüffel-Module in Apps: Das können Sie tun“ erklärt, wie Sie herausfinden können, welche Module Apps enthalten und wie Sie ihre Privatsphäre schützen können.

    • Artikel drucken:

    Beitrag teilen:

    Weitere Artikel

    Ratgeber 

    Datenschutzrisiken bei Internet-Browsern: Cookies & Caches

    Wer Webseiten auf seinem Smartphone oder Tablet ansteuert, macht das mit einem Browser. Hinter den Kulissen sollen Cookies und Caches das Surfen erleichtern. Doch zugleich kann damit das Surfverhalten der Nutzer ausgespäht werden.

    Mehr     YouTube-Video 

    Klimafreundliche Handy-Spiele?

    Viele Apps könnten stromsparend laufen, verbrauchen tatsächlich aber viel Strom. Wie sieht das bei Spiele-Apps aus? Wie viel Strom verbrauchen Candy Crush & Co – und könnten Spiele-Hersteller das ändern?

    Ansehen     Ratgeber 

    AppChecker: Warum wir Daten lieben – und Verbraucherschutz notwendig ist

    Seit mehr als fünf Jahren informiert mobilsicher.de über Privatsphäre, Datenschutz und Sicherheit in der Smartphone-Welt. Was haben wir erreicht? Wie geht es weiter? Und brauchen wir eine Verbraucherplattform für sichere Handynutzung überhaupt noch? Ein Update zum Weltverbrauchertag 2021.

    Mehr     Ratgeber 

    Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

    Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

    Mehr

    Kontakt

    Institut für Technik und Journalismus e.V.
    Linienstraße 13
    10178 Berlin

    redaktion@mobilsicher.de

    Lizenz

    Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

    Förderung

    Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

    Träger

    Impressum Datenschutz