Seit einigen Monaten müssen Hersteller, die Apps auf Google Play und im App Store veröffentlichen, einen neuen Abschnitt zur Datensicherheit ausfüllen. Damit soll die Transparenz erhöht werden, indem die Nutzer darüber informiert werden, wie Apps ihre Daten sammeln und zu welchem Zweck. Heute stellen wir fest, dass der Inhalt dieses Abschnitts rein deklarativ ist und schwerwiegende Datenexfiltrationen verbirgt. Weit entfernt von seinem ursprünglichen Zweck wird dieser Teil nun von Entwicklern missbraucht, um Nutzer zu betrügen und ihre Daten ohne ihr Wissen zu stehlen.
Was machen mobile Anwendungen mit unseren Daten?
Ein Smartphone ist eine unendliche Quelle persönlicher und geschäftlicher Informationen, die von mobilen Anwendungen während ihrer Aktivitäten verarbeitet werden. Daten können von einer mobilen Anwendung auf unterschiedliche Weise genutzt werden:
- Die Information wird von der Anwendung abgerufen.
- Die Information wird von der Anwendung im Dateisystem, in einer lokalen Datenbank, in gemeinsam genutzten Ressourcen, in Logs und in der Zwischenablage gespeichert...
- Die Information wird außerhalb des Geräts über das Internet oder das Mobilfunknetz gesendet.
Anders als man es glauben könnte, sammeln mobile Anwendungen oft persönliche Daten von ihren Nutzern, ohne dass dies für ihr Funktionieren notwendig ist. Die gesammelten Informationen werden dann an globale Profiling-Unternehmen verkauft oder manchmal an Server von böswilligen Drittparteien gesendet.
Die Engine von Pradeo analysiert jedes Jahr Millionen von mobilen Anwendungen, um deren Sicherheits- und Konformitätsniveau zu ermitteln. Um eine vertrauenswürdige Aussage treffen zu können, werden bei diesen Analysen alle von den Anwendungen vorgenommenen Datenmanipulationen ermittelt. Auf diese Weise findet unser Tool beispielsweise heraus, dass 20 % der mobilen Anwendungen Fotos, Videos und Audiodateien von Nutzern außerhalb ihres Geräts versenden, 14 % tun dasselbe mit Kontakten.
Das Ausmaß der falschen Angaben in den App Stores
Seit der Einführung des Abschnitts "Datensicherheit" bei Google Play und "App-Datenschutz" im App Store müssen Entwickler bei der Veröffentlichung ihrer Anwendung angeben, ob und in welchem Umfang sie Daten von ihren Nutzern erheben und ob sie diese mit Drittparteien teilen. Die Angaben spiegeln jedoch nicht immer die Realität wider.
Die Forscher für mobile Sicherheit von Pradeo haben eine Studie durchgeführt, die diese alarmierende Beobachtung mit Zahlen belegt. Bei einer Stichprobe von 5.000 iOS- und 5.000 Android-Apps, die im Mai 2022 mit einem ausgefüllten Datensicherheitsabschnitt online veröffentlicht wurden, geben 17 % der Android-Apps an, dass sie keine personenbezogenen Daten sammeln, obwohl sie diese tatsächlich über das Netzwerk exfiltrieren. Bei iOS liegt der Prozentsatz bei 19 %. Millionen von Nutzern sind getäuscht worden, und täglich werden es immer noch mehr.
Abschnitt "Datensicherheit" auf der Seite einer Anwendung bei Google Play
Abschnitt "App-Datenschutz" auf der Seite einer Anwendung im App Store
Diese Statistiken zeigen, dass diese neue Informationsquelle, die in den Anwendungsprofilen angezeigt wird, tatsächlich irreführend und verwirrend ist. Um erfolgreich zu sein, muss dieser Ansatz mit einer Verhaltensanalyse der Anwendungen kombiniert werden, um erwiesene und nicht frei angegebene Datenmanipulationen zu erkennen. Zum jetzigen Zeitpunkt warnen unsere Experten die Nutzer von Mobiltelefonen davor, diese Angaben als Kriterium für die Entscheidung heranzuziehen, ob sie eine Anwendung installieren und die von ihr geforderten Zugriffsberechtigungen auf sensible Daten akzeptieren.
