Hintergrund

Was untersuchen wir in App-Rezensionen?

Foto: Christoph Löffler, CC by 2.0

Eine Android-App gleicht einer Blackbox. Vom Nutzer unbeobachtet, können Apps Aktionen durchführen, die mit ihrem eigentlichen Zweck nichts zu tun haben. Greift eine App womöglich gerade auf die Kontakte im Adressbuch zu und sendet diese an unbekannte Dritte? Während herkömmliche App-Reviews meist Funktionalität oder Nutzen einer App beleuchten, gilt unsere Aufmerksamkeit anderen Kriterien. Wir machen das sichtbar, was sich im Hintergrund bei der App-Nutzung abspielt.

Veröffentlicht am
Autor
Schlagworte
App-Rezension · Datensicherheit · Datensparsamkeit · Sichere Verbindung · TLS
Drucken

Unser Fokus richtet sich unter anderem auf die angeforderten Berechtigungen, wohin sich Apps verbinden und ob sie sensible Daten sicher oder unsicher auf dem Smartphone ablegen.

Im vorliegenden Beitrag informieren wir Sie über die fünf Kriterien, nach denen wir unsere App-Rezensionen durchführen.

1. Welche Daten sieht die App?

Eine zentrale Sicherheitsfunktion der Android-Plattform ist das Berechtigungssystem. Dieses soll gewährleisten, dass Apps nur mit expliziter Zustimmung des Nutzers Informationen auf dem Gerät abfragen und Aktionen durchführen dürfen. Die Liste der benötigten Berechtigungen wird bei der Installation einer App angezeigt. Dabei kann es zum Beispiel um Kamerazugriff, externen Speicher oder um die Kontakte gehen. Um die App zu installieren, muss der Nutzer der Freigabe zustimmen. Dieses, bis Android 5.x vorherrschende Berechtigungssystem, ist in vielerlei Hinsicht problematisch:

  • Im „Berechtigungsdschungel“ kann ein Nutzer schnell den Überblick verlieren oder fühlt sich von den Berechtigungsanfragen schlicht überfordert.
  • Es ist nur möglich, alle Berechtigungen zu akzeptieren, oder die App nicht zu installieren. Einzelne Rechte lassen sich nicht verbieten, auch nicht im Nachhinein.
  • Die Zusammenfassung einzelner Berechtigungen in Gruppen erschwert es dem Nutzer zusätzlich, den Überblick zu behalten.

In unseren App-Rezensionen werfen wir einen genauen Blick auf die gewährten Zugriffsrechte und listen diese vollständig auf.

2. Wohin verbindet sich die App?

Frisch gestartet verbinden sich Apps häufig mit dem Internet, um Daten zu empfangen und zu senden. Für den Nutzer ist meist nicht direkt klar, mit wem, wann und warum die App sich verbindet. Vor allem kommen folgende Gründe in Frage:

  • Funktion: Um tun zu können, was sie tun sollen, verbinden sich Apps mit den Servern des Anbieters. Eine Wetter-App überträgt zum Beispiel den Standort des Smartphones und erhält im Gegenzug den aktuellen Wetterbericht für diesen Ort.
  • Nutzerdaten: Die Aufzeichnung und Auswertung des Nutzerverhaltens ist vor allem auf Smartphones gängige Praxis. Dabei wird die Analyse oft von spezialisierten Firmen erledigt, die Kundenprofile erstellen, für die Daten über verschiedene Kanäle gesammelt werden. Die App verbindet sich häufig direkt mit dem Server des externen Anbieters.
  • Werbung: App-Anbieter erhalten Geld für eingeblendete Werbung. Zum Nachladen von Werbeanzeigen (zum Beispiel Werbebannern) verbinden sich Apps mit Servern von Werbeunternehmen.
  • Soziale Netzwerke: Viele Apps machen es Nutzern leicht, Informationen mit Freunden zu teilen. Trainiert man beispielsweise mit App-Unterstützung für einen Marathon-Lauf, so kann man zurückgelegte Distanzen und Bestleistungen automatisch auf Facebook mitteilen. Für diese Funktion stellt die App eine Verbindung zu Servern von sozialen Netzwerken her.

Sensible Informationen, wie etwa Benutzername und Passwort, sollten Apps in verschlüsselter Form übertragen. Dabei kommt das sogenannte TLS-Protokoll (Transport Layer Security) zum Einsatz. Für zusätzliche Sicherheit kann das „Certificate Pinning“ sorgen.

In unseren App-Rezensionen prüfen wir, mit welchen Internetadressen sich die App verbindet, und weisen Sie darauf hin, welche Informationen übertragen werden. Wir analysieren auch, ob der App-Anbieter die dabei übertragenen Daten ausreichend verschlüsselt.

3. Wie sicher speichert die App meine Daten?

Während eine App läuft, schreibt sie häufig Informationen in den internen Speicher – zum Beispiel, um die Anmeldedaten für ein Online-Konto zu hinterlegen.

Diese sensiblen Daten müssen abgesichert werden, aus unterschiedlichen Gründen. So können etwa korrekt angewendete Verschlüsselungsverfahren davor schützen, dass Passwörter durch unbefugte Dritte ausgelesen werden.

In unseren App-Rezensionen prüfen wir, wo die App sensible Daten ablegt und ob diese verschlüsselt gespeichert werden.

4. Was sagt die Datenschutzerklärung?

Generell sind App-Anbieter verpflichtet, die Datenschutzerklärung auf Deutsch zur Verfügung zu stellen, wenn sich ihre App an deutsche Kunden richtet. Darin muss der Anbieter darlegen, welche Daten er sammelt, wie er sie auswertet und ob er sie an Dritte weitergibt. Oft sind die Datenschutzerklärungen von Apps aber unzureichend, da sie den Nutzer zum Beispiel nicht ausreichend darüber informieren, warum Daten erhoben werden,  oder Drittanbieter wie Marketing- und Werbeagenturen nicht nennen, obwohl entsprechende Datenverbindungen stattfinden.

In unseren App-Rezensionen werfen wir einen Blick auf die Datenschutzerklärung jeder getesteten App und prüfen, ob sich ihr Verhalten mit den Angaben in der Datenschutzerklärung deckt.

5. Werden nur notwendige Daten erhoben?

Nicht immer sind die Informationen, die eine App abfragt, dafür notwendig, das zu tun, was sie tun soll. So muss eine Wetter-App zur Darstellung des Wetterberichts nicht auf die Kontaktdaten zugreifen. Wir prüfen daher, ob bei der App-Nutzung nur jene Daten gesammelt und verarbeitet werden, die für den jeweiligen Anwendungszweck unbedingt erforderlich sind.

 

 

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!