Schutz vor Spionage Apps
Android - App-Berechtigungen im Fokus
Wer Berechtigungen bereitwillig erteilt, hilft Spionage Apps beim Daten sammeln. Besonders Android Nutzer sind gefährdet und entsprechender Schutz ist wichtig.
In diesem Artikel erfahren Sie, wie Sie sich bei Ihrem Android Smartphone oder Tablet vor Spionage-Apps schützen können. Dazu benötigt es das richtige Management von Berechtigungen für Ihre installierten Apps.
Mehr als 250 Taschenlampen-Apps gibt es in Googles Play Store. Ihre Aufgabe: leuchten, vielleicht auch noch blinken. Warum aber muss eine Taschenlampe wissen, wo der Nutzer sich aufhält? Wozu benötigt sie die Gerätenummer des Smartphones? Und wieso interessiert sie der Telefonstatus und die Identität von Anrufern? Spionage Apps stellen besonders bei Android eine Gefahr für den Nutzer dar. Aber kann man sich davor überhaupt schützen, gibt es Sicherheitseinstellungen, die soetwas vorbeugen?
So wie die Taschenlampen-App Brightest Flashlight Free. Sie hat ohne Wissen der User persönliche Daten wie Standort und Gerätenummer an die Server des Entwicklers weitergeleitet, offenbar zu Werbezwecken. Alarm geschlagen hat die US-Aufsichtsbehörde Federal Trade Commission (FTC) - ausnahmsweise. Denn die App, die laut Play Store auf bis zu 100 Millionen Geräten installiert wurde, ist längst nicht die einzige, die so vorgeht. Berüchtigt sind zum Beispiel auch manche Notiz-Apps, die Telefonbuch, Telefonstatus und Standort auslesen können.
Mitschnitte und Kamera-Aktivierung
Bis zu 124 verschiedene Berechtigungen können sich Android-Apps erteilen lassen - von Mitschnitten der Telefonate, Aufzeichnung der Rufnummern über Aktivierung von Kamera und Mikro bis hin zur Erstellung von Bewegungs- und Konsumprofilen anhand des Surfverhaltens. Wenn Sie nicht aufpassen, greift die App auf Daten zu, die sie gar nichts angeht. Whatsapp zum Beispiel erlaubt sich beinah alles - und sendet Daten auch noch unverschlüsselt an seine Server.
Verdächtig sind vor allem Gratis-Apps. Der Sicherheitsexperte Bitdefender hat 260.000 kostenlose Apps aus Googles Play Store untersucht. Fast 36 Prozent von ihnen können den User tracken, indem sie den Aufenthaltsort feststellen. 14 Prozent sind in der Lage, die Geräte-ID des Smartphones an die eigenen Server zu schicken. Jeweils knapp zehn Prozent der Apps können Kontakte auslesen oder Telefonnummern abgreifen. Immerhin noch rund 6,5 Prozent lesen die E-Mail-Adresse aus oder können den Browser-Verlauf protokollieren.Doch nicht alle Rechte, die sich eine App einräumen will, sind "böse". Was eine App darf, hängt immer von ihrer Funktion ab.
Die Skype-App muss natürlich Telefonnummern anrufen dürfen. Eine App ohne Telefonfunktion - etwa ein Cloud-Speicherdienst - muss das nicht können. Die Taschenlampen-App braucht die Erlaubnis auf die Kamera zuzugreifen, weil sie das LED-Licht als Leuchtquelle nutzt. Und eine Navi-App muss auf den Standort des Nutzers zugreifen, sonst kann sie nicht den Weg anzeigen. Die Nutzer müssen bei der Installation zwar zustimmen, dass eine Anwendung bestimmte Berechtigungen bekommt. Diese werden einzeln aufgelistet und können auch später in den App-Einstellungen nachgelesen werden. Aber es ist nicht möglich, einzelne Rechte abzuwählen, weil man sie für wenig sinnvoll oder gar gefährlich hält.
Es gilt das Prinzip: friss oder stirb. Entweder akzeptiert der User alle Berechtigungen - oder eben nicht. Dann kann er die Anwendung allerdings nicht installieren.
Besitzer eines Android-4.3-Geräts haben mehr Rechte
Eine kurze Zeit sah es so aus, als wollte Google dem User mehr Kontrolle geben: In Android 4.3 gibt es die Möglichkeit, jeder App nur bestimmte Rechte zu erteilen und andere zu entziehen. Allerdings ist das Kontrollzentrum App Ops (deutsch: App-Vorgänge) in Android 4.3 (Jelly Bean) nur über einen Umweg zu nutzen, und bei Android 4.4.2 (KitKat) entgegen aller Gerüchte schon wieder abgeschafft. Google begründet das damit, dass App Ops ursprünglich gar nicht für Anwender zugänglich sein sollte.
Was können User also tun, damit sich eine App nicht unberechtigt Zugriff auf alle möglichen Daten erlaubt? Da hilft nur eins: Immer genau prüfen, welche Berechtigungen sich eine App erlauben will - und im Zweifel nicht installieren. Doch neben den eigentlich harmlosen Apps, die sich zu viele Rechte einräumen, gibt es auch noch gefährliche Android-Anwendungen. In manchen Gratis-Apps verstecken sich Schädlinge, die Telefonnummern oder sonstige Daten an zwielichtige Werbenetzwerke weitergeben, Spam in Push-Nachrichten verschicken oder sensible Daten wie die Online-Banking-PIN abgreifen. Nach Ansicht der Antivirenhersteller wächst die Zahl der Apps mit Schad-Software explosionsartig: Von einer Million bösartiger Android-Anwendungen spricht Trend Micro. 75 Prozent von ihnen sollen einen schädlichen Code ausführen, die anderen spielen Werbung aus, die zu zwielichtigen Webseiten führt oder sich in der Infoleiste festsetzt.
Viele Schädlinge tarnen sich als bekannte App
Viele dieser Schädlings-Apps finden sich in den alternativen App-Stores, also nicht bei Google Play. Ein beliebter Trick der Übeltäter: Sie tarnen sich als bekannte Apps. So geben sie sich etwa als Gratisversion eines ansonsten kostenpflichtigen Spiels aus. Und das versendet unbemerkt teure Premium- SMS. Am besten schützen sich User, indem sie die Augen offenhalten: also nicht einfach dubiose Apps auf ihrem Handy installieren, bei alternativen Android Stores zumindest genauer hinschauen, Berechtigungen der Apps prüfen und ein Antivirenprogramm nutzen.
Doch auch wenn Sie all das beachten, können Sie völlig unbemerkt zur Zielscheibe werden - und zu einem offenen Buch. Der US-Geheimdienst NSA brüstete sich damit, Smartphones aller Hersteller überwachen zu können. Nach Informationen des Spiegel können die Spione nahezu alle persönlichen Informationen von iPhones, Blackberrys und Android-Handys auslesen - von der SMS über den Standort bis zu Kontakten. Angeblich greift die NSA dazu über den Computer eines Nutzers zu, mit dem das Handy synchronisiert wird. Zwar dürfte dies nicht flächendeckend passiert sein, genau weiß das allerdings außer der NSA niemand. Was also tun?
Ein abhörsicheres Telefon mit Kryptoprozessor wird sich bei einem Preis von mehreren tausend Euro kaum jemand leisten können. Aber verschiedene Apps helfen dem User, sein Handy undurchsichtiger zu machen. Sie ermöglichen anonymes Surfen und verschlüsselte Messages oder Telefonate. Letzteres klappt aber nur, wenn beide Kommunikationspartner das gleiche Verschlüsselungsprogramm nutzen. Die Gratis-App RedPhone ermöglicht abhörsichere Internettelefonie (VoIP) zwischen Android-Handys. Der Dienst Silent Phone verschlüsselt neben Gesprächen auch Nachrichten und Mails, kostet allerdings zwischen 100 und 240 Dollar pro Jahr. Mails auf dem Handy kodieren kann man wie auf dem Desktop-Rechner mit dem OpenPGP-Standard. Ein solches Feature bringt zum Beispiel der Dienst Android Privacy Guard (APG) mit, der mit der Mail-App K-9 Mail zusammenarbeitet.
Im Zweifelsfall ist es besser, eine suspekte App nicht zu installieren
Letztlich liegt es in Ihrer Hand, wie sicher Ihr Android-Smartphone ist. Sie sollten bei jeder App, die Sie nutzen wollen, die Rechte prüfen, die diese sich einräumen will. Auch Apps, die keine Viren verbreiten oder Malware enthalten, können ein Sicherheitsrisiko beinhalten, wenn sie sensible Daten unverschlüsselt an die Server der Entwickler senden - oder Informationen sammeln, die sie nichts angehen. Im Zweifel sollten Sie auf die Nutzung einer App verzichten oder zu einer Alternative greifen, mit der viele andere User positive Erfahrungen gemacht haben. Das können Sie anhand der Bewertungen und Kommentare im Play Store prüfen.
Hier werden auch fragwürdige Rechte angespochen und diskutiert. Datenklau verhindern kann man aber auch ganz leicht mit einer simplen und pfiffigen Idee: Die App "Fake Permissions" kann keine Berechtigungen verändern. Sie schickt stattdessen einfach falsche Informationen an die fremden Server - zum Beispiel eine leere Kontaktliste oder einen falschen Standort.
