Sicherheitslücke

Android-Apps filmen Toucheingaben mit und versenden Video

Oft wird behauptet, Apps würden heimlich das Smartphone-Mikrofon aktivieren und Gespräche mitschneiden. Das konnten Forscher dementieren - doch sie stießen noch auf eine viel schlimmere Ausspähung.
AAA
Teilen (15)

Verschwörungstheoretiker denken sich immer wieder Theorien aus, um Verbraucher vor der unbedarften Nutzung mobiler Geräte zu warnen. Ganz unberechtigt ist das nicht, wenn man sich anschaut, welche Berechtigungen sich insbesondere Android-Apps manchmal selbst genehmigen.

Gestattet der Smartphone-Nutzer einer App den Zugriff auf das Mikrofon und das Internet, ist es theoretisch möglich, dass die Anwendung jederzeit das Mikrofon aktiviert, die Umgebungsgeräusche inklusive aller Gespräche aufzeichnet und die Datei beliebig über das Internet verschickt. Doch machen Apps das auch tatsächlich?

Smartphone-Mikro lauscht heimlich mit: Alles nur Paranoia

Der Testaufbau an der Northeastern UniversityDer Testaufbau an der Northeastern University Um dem Vorwurf nachzugehen, dass Apps heimlich per Mikrofon aufgezeichnete Gespräche und andere Geräusche weiterleiten, haben fünf Forscher der Northeastern University für ein Jahr eine umfangreiche Forschungsarbeit durchgeführt. Dabei haben sie sage und schreibe das Verhalten der 17 000 populärsten Android-Apps beobachtet.

Gizmodo berichtet, dass unter den geprüften Apps auch alle Facebook-Apps waren sowie rund 8000 weitere Apps, die Daten mit Facebook austauschen. Das Forschungs-Ergebnis war eindeutig: Keine einzige der Apps aktivierte im Hintergrund das Mikrofon, zeichnete Gespräche auf oder verschickte die Aufzeichnung über das Internet, ohne dass der Nutzer dies explizit wünschte.

Die Forscher sagen im selben Atemzug, dass ihr Experiment natürlich letztendlich kein hundertprozentiger Beweis ist, dass nicht vielleicht doch irgendwann eine App im Hintergrund mitlauscht - aber der Test mit 17 000 Apps über ein Jahr konnte die These der Verschwörungstheoretiker zunächst einmal ins Reich der Paranoia verweisen.

Apps zeichnen Toucheingabe auf und versenden Video

Allerdings machten die Forscher während ihren Untersuchungen eine erschreckende Beobachtung, mit der sie gar nicht gerechnet hatten. Denn sie stießen auf Apps, die sich die Berechtigung genommen hatten, den Bildschirminhalt aufzuzeichnen und dieses Video weiterzuleiten. Eine App, die dabei erwischt wurde, war die des Lieferdienstes GoPuff.

Das Problem: Wenn eine App den Bildschirminhalt aufzeichnet, können dabei auch Eingaben von persönlichen Daten wie Name, Adresse, E-Mail oder Passwort mit aufgezeichnet werden, also grundsätzlich alle Daten, die der Nutzer in ein Formular einträgt. Oft werden die aufgezeichneten Videos dann gar nicht an den App-Anbieter selbst, sondern an Drittanbieter versendet. Deren Aufgabe ist es, die Nutzereingaben mitzuprotokollieren, zu analysieren und dann gegebenenfalls die "User Experience" zu optimieren. Immerhin 9000 der getesteten Apps hatten die Berechtigung, Audio und Video aufzuzeichnen.

Ein bekannter Drittanbieter, auf den die Forscher stießen, ist Appsee. Auf der verlinkten Seite prahlt das Unternehmen sogar selbst damit, dass mitgeschnittene Nutzereingaben der "Eckpfeiler" einer qualitativen App-Analyse seien. Jede Toucheingabe und jede Wischbewegung könne problemlos mitgeschnitten und ausgewertet werden. In einem selbstablaufenden Video zeigt das Unternehmen sogar, wie derartige bei Nutzern aufgezeichnete Bildschirm-Videos ausgewertet werden.

Die Forscher störten sich aber an der Tatsache, dass der Nutzer über die Aufzeichnung seiner Bildschirmeingaben vorab gar nicht informiert wird und daher gar nichts davon weiß. Auch in der Datenschutzerklärung von GoPuff habe dazu nichts gestanden. Erst nach der Information durch die Forscher nahmen die App-Entwickler einen Hinweis in die Erklärung auf.

Appsee selbst redete sich damit heraus, das Verhalten von GoPuff sei ein Verstoß gegen die Nutzungsvereinbarung für die Aufzeichnungssoftware gewesen. Appsee würde allen Kunden auferlegen, die Nutzer darüber zu informieren, dass im Hintergrund möglicherweise ihre Bildschirmeingaben aufgezeichnet und weitergeleitet werden.

Auch die Nutzungsbedingungen des Google Play Store sehen vor, dass Nutzer über alle Datenerhebungen (auch für Drittanbieter) informiert werden müssen. Google versprach, sich in den Fall von GoPuff und Appsee einzuschalten und für Klarheit zu sorgen. Doch selbst wenn derartige Ausspäh-Mechanismen ganz untersagt würden: Die Forscher stellen klar, dass die Werbeindustrie durch gezieltes Tracking bereits jetzt so viele Daten vom Nutzer erheben kann, dass sie schon jetzt ihre Werbung sehr zielgerichtet adressieren kann - auch ohne Audio- und Video-Aufzeichnungen.

Teilen (15)

Mehr zum Thema Datenschutz