Forscher und Verbraucherschützer haben Programme für Smartphones getestet. Viele von ihnen senden gleich nach dem Start Daten, ohne dass der Nutzer davon erfährt. Die Entwickler der Apps zu kontaktieren, ist schwierig.

Stuttgart - Nach der Zeit der ersten Euphorie über die vielen informativen, praktischen und unterhaltsamen Apps folgt jetzt eine Phase der Ernüchterung: Untersuchungen zeigen auf, wie Entwickler schlampen – und dem Nutzer das Leben schwer machen können. Es sind vor allem deutsche Wissenschaftler, die hier den Finger auf die Wunde legen.

 

Fast schon chronisch ist der Befund, dass Apps mehr Daten einfordern, als sie für die eigentliche Anwendung benötigen. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit testeten 10 000 der beliebtesten Android-Apps und stellten fest, dass 91 Prozent eine Berechtigung für den Aufbau einer Internetverbindung verlangen – ohne dass man erfährt, wozu die Verbindung genutzt wird.

Die meisten Apps nutzen diese Verbindungen, um gleich beim Start ungefragt persönliche Daten zu verschicken. Der Test stellte Datenübertragungen an rund 4400 Server in der ganzen Welt fest. Fraunhofer-Forscher Julian Schütte sagt: „Der technisch nicht versierte Nutzer hat nach der Installation keine Möglichkeit zu prüfen, welche Verbindungen die App nach draußen tatsächlich aufbaut und welche Daten übermittelt werden.“

Apple und Google prüfen Apps nur auf Viren

Ein weiteres Problem besteht darin, dass die meisten Apps Daten mehr oder weniger ungesichert über das Netz übertragen. So stellten die Fraunhofer-Forscher fest, dass rund zwei Drittel der Apps unverschlüsselt mit der Außenwelt kommunizieren. Hinzu kommen eingebaute Sicherheitslücken, die Hacker ausnutzen könnten, um in das Smartphone einzubrechen. Forscher des Technologie-Zentrums Informatik und Informationssicherheit (TZI) der Universität Bremen fanden bei Analysen von Android-Apps vor allem zwei Schwachstellen: Zum einen fordern die Apps eine lange Liste von Berechtigungen, von denen viele gar nicht benötigt werden. Darüber können Angreifer auf Daten und sogar auf Funktionen wie Kamera, Mikrofon oder GPS-Ortung unbemerkt zugreifen. Zum anderen stellt die SSL-Verschlüsselung ein Ziel dar, weil sie oft schlecht und fehlerhaft implementiert ist.

Eine minimale Sicherheitslücke im Softwarecode einer App genügt, um mit einem kleinen Programm das Smartphone übernehmen zu können. „Wir haben selbst in sicherheitssensiblen Bereichen wie Onlinebanking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden“, sagt der TZI-Mitarbeiter Karsten Sohr. Der Grund dafür liegt darin, dass viele Programmierer gerne die Programmiersoftware Cordova verwenden. Sie fordert allerdings standardmäßig viele Berechtigungen, wobei der Programmierer selbst überprüfen muss, welche wirklich notwendig sind. Um den Programmierern zu helfen, hat das TZI deshalb ein Programm entwickelt, mit dem sich die mit Cordova erstellten Apps für Android auf Lücken testen lassen.

Eigentlich sollte es Aufgabe von Apple und Google sein, für ein bestimmtes Qualitätsniveau der Apps zu sorgen, die über ihre Plattformen App Store und Play Store angeboten werden. Derzeit begnügen sie sich mit Virentests. Ob auch Datenschutzstandards eingehalten werden, das überprüfen sie nur auf Beschwerden der Nutzer hin.

Die App-Entwickler sind kaum zu erreichen

Interessant dürfte daher ein Verfahren sein, das Forscher der Universität Saarbrücken entwickelt haben. Damit lässt sich feststellen, ob sich Apps tatsächlich so verhalten, wie es der veröffentlichten Funktionsbeschreibung entspricht. Getestet haben die Forscher das bereits an mehr als 22 000 Apps aus dem Google Play Store. Google hat sie inzwischen aufgefordert, die Tests auf den gesamten Play Store auszuweiten.

Die am Saarbrücker Lehrstuhl Softwaretechnik entwickelte Software namens „Chabada“ analysiert per Sprachanalyse den Text, der die App-Funktionen beschreibt, und fasst dann ähnliche Apps zusammen. Indem sie die typischen Verhaltensmuster von Apps definiert, können Abweichler erkannt werden. Reise-Apps etwa fragen gewöhnlich die aktuelle Position ab, um dann aus dem Internet Karten nachzuladen. Eine Reise-App, die hingegen Textnachrichten versendet, macht sich verdächtig. Chabada konnte mit dieser Methode 56 Prozent der vorhandenen Spionage-Apps erkennen. Mit einem solchen Verfahren könnten Google und Apple schon im Vorfeld die Apps testen.

Verbesserungsfähig ist auch die Kommunikation mit den App-Entwicklern selbst: Der Verbraucherzentrale Bundesverband hat 50 Apps für Apples iOS und Android analysiert. Dabei stellten die Verbraucherschützer fest: Beschwerden an die App-Entwickler laufen meist ins Leere. So fanden die Tester etwa in Apples App Store keine direkten Kontaktmöglichkeiten, die Verbraucher vor dem Herunterladen der App hätten nutzen können. In Googles Play Store waren immerhin einige E-Mail-Adressen von Anbietern verlinkt.

Die Altersbewertungen entsprechen nicht immer den Standards

Die Tester schrieben die Anbieter an: Von 43 Kontaktierten antworteten 25 gar nicht und vier kündigten eine spätere Reaktion in einer automatisch erstellen Antwort an. Zehn Anbieter antworteten mit einer meist englischsprachigen Antwortmail, in der sie auf die Fragestellung nicht eingingen. Nur vier Entwickler antworteten zufriedenstellend. Die mangelhaften Kontaktmöglichkeiten sind im Übrigen ein Grund dafür, dass Apps derzeit in puncto Jugendschutz nur unzureichend kontrolliert werden. Eine klassische Impressumspflicht, wie sie für jede Website üblich ist, gibt es für Apps nicht.

Dabei gäbe es auch bei Altersbewertungen eine Menge zu beanstanden: Nach Erfahrungen von Felix Falk, Geschäftsführer der Selbstkontrollorganisation USK, die Spiele und Filme mit Alterskennzeichen versieht, entsprechen die meisten Altersbewertungen für Apps in den Google- und Apple-Plattformen nicht den nationalen Jugendschutzstandards. Sie seien „häufig nicht nachvollziehbar und teilweise schlicht unzutreffend“, sagt Falk. Geahndet wird das aber in Deutschland nach Auskunft der zuständigen Kommission für Jugendmedienschutz nicht, weil die Apps auf Plattformen ausländischer Anbieter, nämlich von Google und Apple, angeboten werden und die Apps eben kein Impressum haben. Darin wird die Novelle des Jugendmedienschutz-Staatsvertrags nichts ändern.