Pressemitteilung von Fabian Sprengel

Bitdefender-Analyse: Android-Apps versenden unbemerkt private User-Daten an Adware-Services

---

---

Holzwickede, 30. November 2012 - Wie eine aktuelle Studie des Security-Experten Bitdefender belegt, spähen mehrere populäre Apps für das Google-Betriebssystem Android das Telefonbuch, E-Mail-Adressen und andere Informationen von Smartphone-Nutzern aus. Nach diesem sogenannten "Skimming" verschicken die Programme die gesammelten Informationen an fremde Dritt-Server von Unternehmen, die auf Werbung für Android-Geräte spezialisiert sind.

Als Teil einer fortlaufenden Analyse von Apps für Mobilgeräte sowie von Gefahren rund um Privatsphäre und Sicherheit hat Bitdefender einige Apps intensiver untersucht. Zu den Spionage-Applikationen zählen unter anderem "Paradise Island", "Liebestest/Rechner (animiert!)" und "Samsung TV Media Player". Sie senden sensible Nutzerdaten an Adware-Services wie Airpush, Jumptap, LeadBolt, Aarki und andere. Mittels Informationen wie User-Profiling und Location Tracking können Unternehmen ihre Werbeanzeigen für Marketing-Kampagnen besser auf eine demographische Gruppe anpassen.

Datenschutzdrama unter Palmen
Die Security-Spezialisten haben festgestellt, dass die App "Paradise Island" Telefonnummern und E-Mail-Adressen an AirPush.com sendet. Zudem sendet sie den spezifischen Identifikationscode (International Mobile Equipment Identity, kurz: IMEI) an Aarki.net und lädt die aktuelle Standortposition mittels Jumptap auf einen Remote-Server hoch. Diese privaten, nutzerspezifischen Daten benötigt das Spiel jedoch nicht, um zu funktionieren.

Im Google Play Store zeigt der Reiter "Berechtigungen" an, dass Paradise Island den Telefonstatus lesen und identifizieren darf. Dadurch pausiert die App z.B., sobald ein Anruf angeht. Auf Grund von mehr als 10 Millionen angezeigten Installationen und mehr als 63.000 Nutzerbewertungen ist davon auszugehen, dass bereits eine große Datenbank besteht.

Liebestest um jeden Preis?
Ebenfalls datenhungrig ist die App "Liebestest/Rechner (animiert!)" von Entwickler NoAim, die anhand der Vornamen berechnen will, wie gut ein Liebespaar zusammenpasst. Wie die Bitdefender-Analysten entdeckten, nutzt die App das Mobile Ad-Netzwerk Leadbolt, das Spam-Nachrichten verschickt. Im Google Play Store ist angegeben, dass die App den ungefähren (netzwerkbasierten) Standort sowie den genauen (GPS-)Standort einsehen darf. Google warnt in diesem Zusammenhang, dass diese Features auch von schädlichen Apps missbraucht werden können. Zusätzlich verlangt der Liebesrechner Zugang zu den gespeicherten Telefonnummern, obwohl der "Liebescheck" mittels manuell eingegebener Namen funktioniert, statt diese aus den Kontakten heraus zu laden. Des Weiteren fordert das Programm die Erlaubnis, beim Start des Smartphones zu booten, was allerdings die Leistung herabsetzt und prinzipiell für die ordnungsgemäße Funktion unnötig ist.

Bildershow mit blinden Passagieren
Die "Samsung TV Media Player"-Applikation von ZappoTV ermöglicht es Usern, ihre Mediendateien direkt über ein lokales Wi-Fi-Netzwerk von ihrem Tablet an ein Samsung-TV zu übermitteln. Für die Nutzung der App ist ein ZappoTV-Account erforderlich. Wie die Bitdefender-Experten ermittelten, erfolgt die Übermittlung des Passwortes unverschlüsselt an die Website von Zappo, was die Daten gefährdet. Zudem erleichtert die unverschlüsselte Übertragung Hackern ihre Arbeit: Sie fangen die Informationen ab und können sich so unbefugt Zugriff auf die Bild- und Videohistorie des Nutzers verschaffen. Daneben fordert die App ebenfalls Location Tracking-Rechte ein sowie Zugang zu den hinterlegten Konten.

Sowohl weit verbreitete als auch kaum bekannte Android-Apps können Services und Erlaubnisse verlangen, die die Privatsphäre der Nutzer gefährden. Daher rät Bitdefender dazu, die geforderten Berechtigungen einer Anwendung vor dem Download zu prüfen. Zudem empfiehlt sich der Einsatz einer Antiviruslösung speziell für Mobilgeräte, wie z.B. Bitdefender Mobile Security. Sie warnt den Nutzer vor aggressiver Adware, Malware und verdächtigen Apps. Firmen- & Pressekontakt