Sicherheitslücke

Android-Apps filmen Toucheingaben mit und versenden Video

Oft wird behauptet, Apps würden heim­lich das Smart­phone-Mikrofon akti­vieren und Gespräche mitschneiden. Das konnten Forscher demen­tieren - doch sie stießen noch auf eine viel schlim­mere Ausspä­hung.
Von

Der Testaufbau an der Northeastern University Der Testaufbau an der Northeastern University
Bild: David Choffnes, Northeastern University via gizmodo.com
Verschwö­rungs­theo­re­tiker denken sich immer wieder Theo­rien aus, um Verbrau­cher vor der unbe­darften Nutzung mobiler Geräte zu warnen. Ganz unbe­rech­tigt ist das nicht, wenn man sich anschaut, welche Berech­ti­gungen sich insbe­son­dere Android-Apps manchmal selbst geneh­migen.

Gestattet der Smart­phone-Nutzer einer App den Zugriff auf das Mikrofon und das Internet, ist es theo­re­tisch möglich, dass die Anwen­dung jeder­zeit das Mikrofon akti­viert, die Umge­bungs­ge­räu­sche inklu­sive aller Gespräche aufzeichnet und die Datei beliebig über das Internet verschickt. Doch machen Apps das auch tatsäch­lich?

Smart­phone-Mikro lauscht heim­lich mit: Alles nur Para­noia

Der Testaufbau an der Northeastern University Der Testaufbau an der Northeastern University
Bild: David Choffnes, Northeastern University via gizmodo.com
Um dem Vorwurf nach­zu­gehen, dass Apps heim­lich per Mikrofon aufge­zeich­nete Gespräche und andere Geräu­sche weiter­leiten, haben fünf Forscher der Northe­as­tern Univer­sity für ein Jahr eine umfang­reiche Forschungs­ar­beit durch­ge­führt. Dabei haben sie sage und schreibe das Verhalten der 17 000 popu­lärsten Android-Apps beob­achtet.

Gizmodo berichtet, dass unter den geprüften Apps auch alle Face­book-Apps waren sowie rund 8000 weitere Apps, die Daten mit Face­book austau­schen. Das Forschungs-Ergebnis war eindeutig: Keine einzige der Apps akti­vierte im Hinter­grund das Mikrofon, zeich­nete Gespräche auf oder verschickte die Aufzeich­nung über das Internet, ohne dass der Nutzer dies explizit wünschte.

Die Forscher sagen im selben Atemzug, dass ihr Expe­ri­ment natür­lich letzt­end­lich kein hundert­pro­zen­tiger Beweis ist, dass nicht viel­leicht doch irgend­wann eine App im Hinter­grund mitlauscht - aber der Test mit 17 000 Apps über ein Jahr konnte die These der Verschwö­rungs­theo­re­tiker zunächst einmal ins Reich der Para­noia verweisen.

Apps zeichnen Touch­ein­gabe auf und versenden Video

Aller­dings machten die Forscher während ihren Unter­su­chungen eine erschre­ckende Beob­ach­tung, mit der sie gar nicht gerechnet hatten. Denn sie stießen auf Apps, die sich die Berech­ti­gung genommen hatten, den Bild­schir­m­in­halt aufzu­zeichnen und dieses Video weiter­zu­leiten. Eine App, die dabei erwischt wurde, war die des Liefer­dienstes GoPuff.

Das Problem: Wenn eine App den Bild­schir­m­in­halt aufzeichnet, können dabei auch Eingaben von persön­li­chen Daten wie Name, Adresse, E-Mail oder Pass­wort mit aufge­zeichnet werden, also grund­sätz­lich alle Daten, die der Nutzer in ein Formular einträgt. Oft werden die aufge­zeich­neten Videos dann gar nicht an den App-Anbieter selbst, sondern an Dritt­an­bieter versendet. Deren Aufgabe ist es, die Nutzer­ein­gaben mitzu­pro­to­kol­lieren, zu analy­sieren und dann gege­be­nen­falls die "User Expe­ri­ence" zu opti­mieren. Immerhin 9000 der getes­teten Apps hatten die Berech­ti­gung, Audio und Video aufzu­zeichnen.

Ein bekannter Dritt­an­bieter, auf den die Forscher stießen, ist Appsee. Auf der verlinkten Seite prahlt das Unter­nehmen sogar selbst damit, dass mitge­schnit­tene Nutzer­ein­gaben der "Eckpfeiler" einer quali­ta­tiven App-Analyse seien. Jede Touch­ein­gabe und jede Wisch­be­we­gung könne problemlos mitge­schnitten und ausge­wertet werden. In einem selbst­ab­lau­fenden Video zeigt das Unter­nehmen sogar, wie derar­tige bei Nutzern aufge­zeich­nete Bild­schirm-Videos ausge­wertet werden.

Die Forscher störten sich aber an der Tatsache, dass der Nutzer über die Aufzeich­nung seiner Bild­schirm­ein­gaben vorab gar nicht infor­miert wird und daher gar nichts davon weiß. Auch in der Daten­schutz­er­klä­rung von GoPuff habe dazu nichts gestanden. Erst nach der Infor­ma­tion durch die Forscher nahmen die App-Entwickler einen Hinweis in die Erklä­rung auf.

Appsee selbst redete sich damit heraus, das Verhalten von GoPuff sei ein Verstoß gegen die Nutzungs­ver­ein­ba­rung für die Aufzeich­nungs­soft­ware gewesen. Appsee würde allen Kunden aufer­legen, die Nutzer darüber zu infor­mieren, dass im Hinter­grund mögli­cher­weise ihre Bild­schirm­ein­gaben aufge­zeichnet und weiter­ge­leitet werden.

Auch die Nutzungs­be­din­gungen des Google Play Store sehen vor, dass Nutzer über alle Daten­er­he­bungen (auch für Dritt­an­bieter) infor­miert werden müssen. Google versprach, sich in den Fall von GoPuff und Appsee einzu­schalten und für Klar­heit zu sorgen. Doch selbst wenn derar­tige Ausspäh-Mecha­nismen ganz unter­sagt würden: Die Forscher stellen klar, dass die Werbe­in­dus­trie durch gezieltes Tracking bereits jetzt so viele Daten vom Nutzer erheben kann, dass sie schon jetzt ihre Werbung sehr ziel­ge­richtet adres­sieren kann - auch ohne Audio- und Video-Aufzeich­nungen.

Mehr zum Thema Datenschutz