BitDefender-Analyse: 40% aller Apps übertragen persönliche Daten unverschlüsselt, 20% lesen euer Adressbuch
Mit Clueful hatte die Sicherheitsfirma BitDefender eine App zur Überwachung der Hintergrundkommunikation der restlichen auf dem iPhone installierten Apps im Angebot. Inzwischen wurde die Anwendung von Apple aus dem App Store geworfen, über die Gründe schweigen sich beide Parteien bislang aus. BitDefender hat die Anwendung nach eigenen Angaben bereitgestellt, damit iPhone-Besitzer sich ein Bild davon machen können, welche Apps auf ihre privaten Daten zugreifen bzw. diese weitergeben.
In den zwei Monaten, die Clueful im Einsatz war, wurden insgesamt 65.000 Apps analysiert, teils mit beunruhigendem Ergebnis. Knapp 20 Prozent davon waren in der Lage, ohne Zutun des iPhone-Besitzers auf dessen Adressbuch zuzugreifen und diese Daten auf einen Server zu spielen. Und selbst wenn es sich hier bei einem Großteil um vertrauenswürdige Dienste handeln sollte besteht Handlungsbedarf, denn mehr als 40 Prozent dieser Internetverbindungen laufen unverschlüsselt, die Daten werden also im Klartext übertragen. Darüber hinaus waren offenbar weitere 41 Prozent der Apps in der Lage, die Ortsdaten der Anwender ohne deren Wissen und Zutun zu tranken. (via AppleInsider)
Besserung dürfte mit iOS 6 kommen. Apple will den Zugriff von Apps auf private Daten hier deutlich strenger reglementieren – nichts soll mehr ohne explizite Zustimmung des Anwenders laufen.
Bereits seit letztem August macht Apple gegen das Auslesen der Gerätenummer UDID Front und lehnt Apps ab, die diese auslesen und übertragen wollen. Bereits im App Store vorhandene Apps greifen aber weiter fleißig auf diese Information zu und übertragen sie auch (wir berichteten).
Auch bei Sonderangebots-Apps solltet ihr das „Kleingedruckte“ lesen. So überträgt beispielsweise der ohnehin schon kostenpflichtige „AppTicker“ die eindeutige Gerätenummer beim Klick auf eine App an das Werbenetzwerk mobpartner. Auf diese Weise werden gewinnbringende Statistiken à la „wer sich diese App lädt interessiert sich auch für diese App“ generiert.
Die Lösung kann kein Jailbreak sein (hier ist die Gefahr noch größer, irgendwelche Dinge zu installieren, die Daten abfischen) hier muss es ganz klare Grenzen und Richtlinien geben.
Jeder Entwickler muss abgeben welche Funktionen er nutzen môchte und zu welchen Zwecken
Programme die Daten übermitteln müssen dem User um dessen Erlaubnis fragen, mit Angabe der Verwendung
Jede Datenübertragung muss verschlüsselt stattfinden
Absolut richtig! Die Problematik liegt m.E. daran, dass es „zu einfach“ ist, mal schnell so eine App zu basteln. Jeder Scriptkiddie und jede kleine Softwareklitsche kann eine App aus dem Boden stampfen und anbieten. Dass da vielleicht oft gar nicht der nötige fachliche Hintergrund da ist und die Sensibilität für Verschlüsselung, Datensicherheit und Datenschutz fehlt, ist kein Wunder. Wenn man sich mehr einarbeiten müsste, weil die API komplizierter ist, dann beschäftigt man sich wahrscheinlich auch mehr mit diesen Themen.
Bei Android steht bei jeder App. Worauf sie zugrieft
Und wer hat das geprüft? Niemand!
Franz S. ?
„So überträgt beispielsweise der ohnehin schon kostenpflichtige „AppTicker“ die eindeutige Gerätenummer beim Klick auf eine App an das Werbenetzwerk mobpartner. Auf diese Weise werden gewinnbringende Statistiken à la „wer sich diese App lädt interessiert sich auch für diese App“ generiert.“
Ich mach das so: Wenn ich in der AppTicker-App eine App sehe, die mich interessiert, öffne ich manuell den AppStore und gebe da den Namen der App ein.
AppTicker direkt gelöscht!
Was soll der Mist?
Es ist zwar bedenklich das es ohne Infomation abläuft und nicht zu unterbinden ist, aber das mir andere Apps vorgeschlagen werden die mich dann auch wirklich interessieren könnten anstatt irgendwelche Apps die nur für den Asiatischen Raum zu nutzen sind finde ich eigentlich ganz gut so
Vielleicht auch für ifun ein sinnvoller Punkt für die Zukunft:
Wenn ihr auf kostenlose Spiele/Programme hinweist, wäre ein zusätzlicher (allgemeiner) Hinweis auf die im Text genannte „mobpartner“-Problematik sinnvoll. Noch sinnvoller wäre ein Hinweis, der sich konkret auf die App bezieht, die ihr in dem jeweiligen Beitrag empfehlt. Ein kurzer Scan mit dem o.g. Tool und die darin enthaltenen Informationen in den Text einfließen lassen.
Nur so kann man aufklären!
Finde ich gar nicht so schlecht, und könnte man evtl. mit in den „App-Test“-Ablauf mit einpflegen.
Allerdings erfährt man dass dann ja nur bei Apps die bei iFun auftauchen.
Evtl. wäre eien Art Datenbank nicht schlecht, bei der auch andere User Apps eintragen können. Gibt ja mehr al sgenug die diese App haben, oder via Jailbreak udn passenden Apps den Datenverkehr ihrer Apps überwachen usw.
Dann würden erstens auch ältere Apps berücksichtigt werden und zweitens würde die ganze Arbeit nicht nur beim iFun-Team liegen.
Sehr gute Idee!
„Auch bei Sonderangebots-Apps solltet ihr das „Kleingedruckte“ lesen.“
Das blöde ist ja das man oftmals gar nicht, oder nur sehr schwer erfährt welche App da was macht.
Irgend eine offizielle, und auch stehts aktualisierte, Liste mit „Apps die die Privatsphäre verletzten“ oder so wäre schön.
Derzeit muss man sich teilweise durch seitenweise Rezensionen lesen um mal mit Glück einen Kommentar zu finden. ODer Google bemühen wo man dann oftmals nur veraltete Listen findet…
Ich würde zB. gern mal Galaxy on Fire2 ausprobieren. Vor einem halben Jahr noch stand allerdings der Vorgänger als ziemlicher „Datenselbstbediener“ in sämtlichen Listen. Bez. GoF2 kann ich nichts finden, bin aber irgendwie trotzdem skeptisch.
Warum Apple so eine, eigentlich SEHR nützliche und wichtige App aus dem Appstore entfernt, entschliesst sich mir auch nicht wirklich.
Evtl. weil so eine App dem „Saubermann“-Image von Apple schadet. Zeigt sie doch sehr gut auf wie sehr Datenschutz usw. auf iOS-Geräten vernachlässigt wird.
Genau DASS wird der Grund sein. ;-)
… Und das ist sicherer ? Ein “ quelloffenes “ System ? Wo jeder rooten kann ?? naja …
Ich will jetzt nicht Android lobpreisen, keine Sorge.
Aber zumindest mit gerooteten Geräten kann man (theoretisch) für mehr Sicherheit der Daten Sorgen als mit iOS6.
Theoretisch deswegen, weil man natürlich der App vertrauen muss, die andere Apps „einschränkt“. So kann ich zum Beispiel mit LBE Privacy Guard sämtliche Rechte einer App entfernen (oder nur bestimmte) und auch deren Zugriff auf das Internet – ob über WLAN, 3G oder gar nicht -regeln.
Wie gesagt, auch Android ist nicht das gelbe vom Ei in Hinsicht auf Datenschutz. Aber einen Root würde ich nicht verteufeln solange man damit richtig umgeht.
Bei android ist um Welten schlimmer. Und der schlimmste Big Brother Google ist auch noch der Entwickler des Systems :D
Du hattest wohl noch nie ein android für längere zeit. In meinem kollegenkreis haben viele seit jahren android und noch nie viren oder dergleichen. Android ist halt nichts für kiddies die jeden sch… runterladen. Für solche ist ein iphone geeignet.
Hi Chris,
Google ist schon lange nicht mehr der größte Datenkrake sondern Facebook. Gegen das was Facebook ohne Wissen der User sammelt (z.B. Kreditkateninformationen die auch noch an Partner weitergegeben werden) ist jeder Zugriff auf das Adressbuch eines x beliebigen Smartphone lächerlich.
Ich nutze unter Mac OsX „AdiOS“, dieses Tool scannt die Apps in meiner iTunes Bibliothek und sagt mir welche Apps auf das Adressbuch zugreiffen wollen. Darunter fällt auch Asphalt 7, iBooks usw.
Schade das „AdiOS“ nur lokal auf der Festplatte des Mac nach der iTunes-Bibliothek sucht, meine liegt ausgelagert auf der Synology. Kann man den Pfad irgendwie ändern?
Wie hast du sie ausgelagert?
Ich habe das Problem dass, wenn ich in iTunes die externe Festplatte für die Bibliothek angebe, iTuens diesen Pfad dann auch für alles AUSSER den Apps nutzt. Apps werden nach wie vor auf der internen Platte abgelegt.
Ich habe mir selbst hier mit einem Alias abgeholfen. iTunes „denkt“ dass der Ordner lokal liegt, obwohl er eigentlich ausgelagert wurde.
Genau so müsste auch AdiOS dann doch vorgegaukelt bekommen dass die Apps lokal liegen, oder nicht?
so etwas müsste es auch für Windows geben :-/
Ich hab die Bibliothek auf einer DiskStation DS111 liegen, mit samt Apps und Musik. Einfach mit gedrückter „alt“-Taste iTunes öffnen und eine neue Bibliothek anlegen (z.B. auf dem NAS) und dann unter „erweiterte Einstellung“ den Pfad für den Media-Ordner anpassen. Das war’s.
Wenn apple versucht dieses zu unterdrücken, warum wird dann bidefender gesperrt? Wenn die user wisssen, welche apps einfach daten kopiert wird sie ggf weniger gekauft oder verwendet, was schon ein teilerfolg wäre
Die App liest aus, welche Apps auf dem Gerät installiert sind.
Das dürfen Apps aber laut Richtlinien nicht.
Was unter iOS 6 leider nicht unterschieden wird, ist die On/Offline-Nutzung von Daten. Manche Apps, wie zB. Fotoprogramme brauchen den Zugriff auf das Album, können dann aber auch die Bilder an irgendwelche Server schicken. Es sollte also möglich sein Daten nur für die Offline-Verwendung freizugeben, oder gar Apps ganz vom Internet zu sperren. Wird wohl so leider nie kommen. Die neue Abfrage kommt auch nur, da in den USA eine Massenklage eingereicht wurde. Alles nur auf Druck. Der Datenschutz in der heutigen Zeit ist ein Witz und man muss sich zu schon helfen wissen.
Und schlimm ist: selbst wenn man selbst wie ein Fuchs aufpasst, aber wenn man selbst im Adressbuch von anderen Smartphone-Nutzern ist, und diese nicht sensibel mit persönlichen Daten und Apps umgehen, dann sind seine persönlichen Daten auch bei dubiosen Firmen……
Genau. Ist halt wie mit dem „Fremdtmarkieren“… :((
Jups das funktioniert Super ;)
Ab in Bunker Deckel zu und abgeschirmt sicher auf sein Ende warten xD .. Mal ehrlich um so mehr gesucht wird wird auch gefunden wenn keiner suchen wurde würdet ihr das nicht wissen und ganz cool alles weiter benutzen… ;)
Nach der Logik brauchst du dann auch nicht mehr zum Arzt gehen. Willst ja nicht erfahren dass du evt krank bist.
joah, dann mal ab nach Cydia…
Gibts die App noch irgendwo bzw. wird sie noch unterstützt?
Danke für den Tipp, läuft prima.
Wir brauchen „Little Snitch“ für iOS, das wär der Kracher :)
Firewall IP.
Das Problem wurde hier im Artikel leider nicht komplett dargestellt.
Bei MTN.de wird noch folgendes erklärend dazugeschrieben: „…Problematisch bei diesen Daten ist allerdings, dass sie von Bitdefender im Vorfeld erhoben wurden und aufgrund der technischen Beschränkungen von iOS nicht die auf dem Gerät installierten Apps untersucht. Aktualisierungen, bei denen bedenkliche Funktionen möglicherweise entfernt wurden, bleiben damit unberücksichtigt. In den Richtlinien für den App Store schreibt Apple unter anderem vor, dass Apps keine falschen Diagnosen oder Gerätedaten anzeigen dürfen…“
Die Daten sind also keine LIVE-Daten und somit evtl. nicht (mehr) korrekt!
Und da Apple dies ausdrücklich verbietet, ist eine Entfernung schon richtig.
Falscher Lösungsansatz! Kennt ihr das: vom Regen in die Traufe?
Ihr seid ja witzig. Die App von ifun nimmt (wenn man es nicht blockiert) Zugriff auf Location, Contacts, ID. Ob die dann auch tatsächlich übertragen werden konnte ich bis Dato nicht herausfinden. Aber immerhin, die App versuchts. Ist aber auch nicht verwundernswert, wenn man sich den Stall anguckt aus dem sie kommt. Werbeagentur. Das soll jetzt keine Kritik sein, sondern das ist Fakt.
Wie kommst du darauf, dass die App von einer Werbeagentur kommt? Wir arbeiten direkt mit den Entwicklern zusammen und haben uns erst kürzlich rückversichert, dass keinerlei Daten übertragen werden. Die von dir angesprochenen Zugriffsversuche habe ich mal weitergeleitet und gefragt warum bzw. ob das sein muss. Sofern möglich wird das abgestellt.
Dennoch wäre es schon zu wissen, warum generell auf das Adressbuch etc. zugegriffen werden muss.
Sekundär stellt sich die Frage: muss es zukünftig sein?
Location klingt etwas nach gezielter Werbung und ID Abfrage konnte ebenfalls der Dateneerhebung hierfür dienen. Verknüpfung von id und userkennung?
Bringt bitte Licht ins dunkel, vielleicht mit Grundlagenartikel: warum apps tun was sie tun
Da sieht man es wieder iOS istkeinen Deut besser als Android bezüglich der Sicherheit
App getestet. Listet mir Apps auf, die ich überhaupt nicht besitze oder jemals gekauft oder geladen habe. Schrott!