Wer heute ein Smartphone benutzt, wird sicher neben den bereits vorinstallierten Apps noch weitere Anwendungen auf seinem Gerät installieren –schließlich bringen häufig erst die Apps die nützlichen Fähigkeiten auf das Gerät, die der Nutzer erwartet und benötigt. Nichts leichter als das: Die Apps werden bereits millionenfach über die App-Stores der jeweiligen Anbieter, also Google Play für das Android-System und Apple AppStore für iOS-Geräte, angeboten. Ein erster Blick in diese "Läden" scheint dann zunächst auch paradiesische Zustände zu bieten: Ein Großteil der Anwendungen steht zum kostenlosen Download bereit, wobei viele Anbieter sogar mit uneingeschränkten Features selbst bei diesen freien Versionen werben.
Es gibt nichts (wirklich) umsonst…
Ein in den Vereinigten Staaten sehr verbreitetes Sprichwort lautet: "There's no such thing as a free lunch"– was frei übersetzt für "Es gibt nichts umsonst" steht.
Foto: Schlede/Bär
Das gilt natürlich auch für die im Google Play Store, im Apple App Store oder im Windows Store angebotenen Apps. Da viele Anwender aber nach wie vor der Meinung sind, im Internet gäbe es sowieso alles gratis, setzt sich auch bei mobilen Geräten wie Smartphones und Tablets der Trend zur kostenlosen App fort.
Wie schon bei den Web-Seiten müssen sich die Nutzer aber darüber im Klaren sein, dass sie für die Apps dann wenigstens mit einem Klick auf Werbeanzeigen "bezahlen". Und genauso, wie es die Nutzer bereits von ihren Browser auf dem Desktop kennen, kommen gerade bei den Gratis-Apps die unterschiedlichsten Formen der Werbeanzeigen – teilweise recht aggressiv – auch auf diesen Geräten zum Einsatz:
Bannerwerbung: Dabei werden die Werbebanner auf dem eng begrenzten Raum der mobilen Geräte so über die Information auf dem Bildschirm gelegt, dass der Nutzer sie häufig zwangsläufig anklicken muss. In diesen Fällen kommen zudem häufig Geolocations-Dienste (Standortdienste) zum Einsatz, auf die mittels einer Programmierschnittstelle (API) aus der App heraus zugegriffen wird, um den Anwendern gezielte Werbung in Abhängigkeit von ihrem Standort zu präsentieren.
Capture-Formulare oder Signup-Apps: Diese Apps treiben diese Art des Geschäfts noch ein Stück weiter. Hier öffnen sich gleich nach dem Start oder manchmal auch während die App bereits benutzt wird, Fenster. Sie füllen den ganzen Bildschirm aus und fordern den Nutzer auf, sich anzumelden oder bestimmte Daten einzugeben. Ein Nutzer, der die Gratis-App nutzen will, kommt nicht darum herum, mit seinen Daten "zu bezahlen".
Push-Benachrichtigungen: Bei dieser Form der Werbung, die häufig in kostenlosen Spiele-Apps zum Einsatz kommt, werden Werbenachrichten direkt und aktiv vom Remote-Server auf das Mobil-Gerät geschickt. Der Nutzer kann das nur schlecht verhindern, da viele dieser freien Apps nicht zu verwenden sind, wenn keine Online-Verbindung besteht.
App-Walls: Ähnlich aufdringlich wiedie Push-Nachrichten wird beispielsweise während eines Spieles eine Liste weitere populärer Apps mit dem Ziel eingeblendet, den Nutzer zu einem Kauf über das jeweilige Advertising-Netzwerk zu verleiten.
Automatisches Anlegen von Icons auf dem Home-Bildschirm: Die Gratis-App legt dabei während der Installation ein Icon auf dem Home-Bildschirm des Geräts an. Klickt der Nutzer darauf, wird er dann wiederum auf ein Ad-Netzwerk geführt.
Dabei bauen die Entwickler der Gratis-App den Code, der diese Werbung auf den Bildschirm der Mobilgeräte bringt, mittels eines SDK (Software Development Kit) fest in die Anwendung ein. Der Source-Code mancher Gratis-Apps beinhaltet sogar zwei oder mehr dieser Advertising-SDKs.
Für den Anwender bleibt die Frage, wie gefährlich der Einsatz von Gratis-Apps dadurch letztendlich ist. Wir haben die Frage an Kaspersky Labs weitergegeben und deren Senior Virus Analyst Christian Funk schätzt die Gefährdung durch die kostenlosen Apps folgendermaßen ein: "Gratis-Apps verlangen immer häufiger Zugriff auf allerlei Bereiche des Smartphones, welche für die eigentliche Funktion nicht benötigt würden. Hier muss man sich aus der Sicht des Anwenders fragen, welche Daten tatsächlich übertragen werden, ob der Transfer verschlüsselt erfolgt und am Wichtigsten: Wie und wo werden die Daten abgespeichert, damit sie kein leichtes Ziel für Cyberkriminelle sind."
Auf welche persönlichen Daten greifen Apps zu?
Die Spezialisten der Firma Lookout, die ihren Fokus auf die Sicherheit von mobilen Geräten gelegt haben, begannen bereits im Jahr 2011 mit dem sogenannten App Genome Project, mit dessen Hilfe sie die mobilen Apps und deren Aufbau übergreifend über verschiebende mobile Plattformen und Marktplätze für Apps untersuchen. Dabei wurden neben dem Android Play Store (damals noch Android Market) und dem Apple App Store auch jeweils zwei alternative App-Märkte für Android und iOS in die Untersuchung mit einbezogen.
Laut dieser Erhebung griffen bereits Ende 2011 mehr als ein Drittel der untersuchten Apps in den beiden großen App-Stores auf den jeweiligen Standort des Nutzers zu, mindestens zehn Prozent nutzen den direkten Zugriff auf die Kontakte. Es ist sicher nicht falsch, davon auszugehen, dass diese Art der Zugriffe im Lauf der letzten Jahre weiter zugenommen hat. So zeigte eine kürzlich durchgeführte Untersuchung der Security-Spezialisten von TÜV Trust IT aus Österreich ein noch erschreckenderes Bild: Bei einer Analyse von über 1000 mobilen Anwendungen fanden die Fachleute heraus, dass bei 45 Prozent der untersuchten Apps die potenzielle Möglichkeit besteht, dass mit ihnen Daten gestohlen werden.
Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen spezialisiert hat, kommt zu ähnlichen Ergebnissen: Sowohl bei Auskunfts-Apps, Reise-Apps oder Messenger gibt es teilweise erhebliche Sicherheitsmängel; die Experten raten bei vielen Apps von der Nutzung im Unternehmen als auch privat ab.
Immer wieder zeigt es sich dabei auch, dass viele Gratis-Apps mit Hilfe der integrierten SDK ein Device-Tracking durchführten: Sie verfolgen anhand bestimmter Daten und Merkmale, die sie auf dem Gerät auslesen, das Smartphone oder Tablet und damit den Nutzer und seine Gewohnheiten. Zu diesen Daten, die dabei häufig ausgelesen werden, gehören unter anderem:
die IMEI (International Mobile Equipment Identity) – eine fünfzehnstellige für jedes Mobilgerät eindeutige Identifikationsnummer. Sie ändert sich auch dann nicht, wenn beispielsweise die SIM-Karte eines Smartphones ausgetauscht wird.
die IMSI (International Subscripter Identity) – sie dient zur Identifikation eines Geräts innerhalb eines mobilen GSM- und UTMS-Netzwerks. Auch sie besteht aus 15 Ziffern. Anhand dieser Nummer ist es beispielsweise auch möglich festzustellen, über welchen Provider sich das Gerät angemeldet hat.
die UDID (Unique Device ID) – eine spezielle Gerätekennung der iOS-Geräte von Apple, die unter anderem auch als Kennung bei Einkauf im App-Store zum Einsatz kam. Seit der Version iOS 6 untersagt Apple deren Verwendung in Apps. Beim aktuellen iOS7 kam zudem eine Funktion hinzu, die das Auslesen dieser Nummer und unter anderem auch der WLAN MAC-Adresse unterbindet.
die Android ID – eine eindeutige 64 Bit lange Nummer, die das Gerät automatisch beim ersten Einschalten erstellt. Sie kann sich allerdings ändern, wenn das Gerät gerootet oder auf den Werkszustand zurückgesetzt wird.
die WLAN MAC-Adresse: Genau wie bei den normalen Netzwerk-Adaptern handelt es sich auch hier um einen eindeutige Adresse, mit der die Netzwerkschnittstelle des Gerätes identifiziert werden kann.
die üblichen Daten wie: Gerätetyp, Betriebssystemversion, Jail Break/Rooting-Status, Geoposition und Telefonnummer.
Praxis-Tipp: Welche App darf was auf meinem Smartphone?
All diese Faktoren zeigen deutlich, dass immer ein gewisses Risiko für die Privatsphäre des Anwenders besteht, wenn eine App eine spezielle Fähigkeit hat, beziehungsweise auf bestimmte Daten des Geräts zugreifen kann. Natürlich muss eine Gratis-App, die Zugriff auf bestimmte Daten und Bereiche des Smartphones oder Tablets bekommt, deshalb nicht gleich ein Spionage-Tool sein. Wer beispielsweise einen Dienst wie Google Maps sinnvoll einsetzen will, muss den Zugriff auf die Geoposition erlauben.
Apps, die eine gewisse Fähigkeit verwenden, sind sicher nicht unbedingt gleich Spyware. Alle mobilen Betriebssysteme zeigen dem Nutzer bei der Installation im Prinzip an, auf welche Daten die App zugreifen möchte. Wer das bei den bereits auf seinem Android-System installierten Apps kontrollieren möchte, kann sich dazu einen sehr nützliche Gratis-App der finnischen Sicherheitsspezialisten von F-Secure herunterladen. F-Secure App Permissions zeigt sehr übersichtlich alle Berechtigungen, der auf einem Android-Gerät installierten Apps an. So können Nutzer sehr schnell sehen, welche Apps im Hintergrund dann doch Kosten verursachen oder welche Apps auf vertrauliche Daten zugreifen, ohne dass dies für ihre grundlegende Funktion notwendig wäre. Die App führt den Nutzer dann auch zu den entsprechenden Einstellungen des Android-Systems – leider ist es vielfach nicht möglich, einer App einzelne Berechtigungen zu entziehen. Im Zweifelsfall bleibt dem Nutzer als sinnvolle Alternative dann nur die Deinstallation der entsprechenden Gratis-App.
Grundlegende Tipps zur Verwendung von Gratis-Apps
Wie überall beim Einsatz von Software, die direkt aus dem Internet geladen und installiert wird, wie auch beim Besuch diverser Angebote und Web-Seiten im Netz sollten Nutzer die entsprechende Vorsicht walten lassen. Die Sicherheitsfirma Sophos hat dazu ein paar grundsätzliche Tipps bereitgestellt:
Wenn irgendetwas bereits verdächtig ausschaut, dann ist es in der Regel auch schädlich: Nutzer sollten auch auf ihren Mobilgeräten grundsätzlich nie auf Anzeigen klicken, die vollmundig versprechen, Schadsoftware auf diesem Gerät zu finden. Auch die Links in Anzeigen, die mit großen roten Alarmknöpfen und -meldungen auf dem Bildschirm auftauchen, sollten nie angeklickt werden – es ist für einen Anwender einfach unmöglich zu beurteilen, was dahinter steckt.
Nutzen Sie den "gesunden Menschenverstand", gerade wenn es um Zugriffsberechtigungen geht: Wenn eine App (ganz gleich ob Gratis- oder Bezahl-App) nach dem Zugriff auf die Kontakte oder gar die Geräteeinstellungen verlangt, sollte dabei auch erklärt werden, warum die App diesen Zugriff benötigt. Wenn Sie von der Erklärung nicht vollständig überzeugt sind, sollten Sie den Zugriff verweigern.
App-Stores von Drittanbietern können große Gefahren bergen: Zwar sind auch die App-Stores von Apple und Google nicht perfekt und gerade bei den Gratis-Apps gilt es auch hier vorsichtig zu sein. Aber die Gefahren durch Apps, die mit Malware infiziert oder solche die als PUA (Potential Unwanted Application) bezeichnet werden, sind in den Stores von Drittanbietern weitaus höher. Genauso sollen Nutzer File-Sharing-Web-Seiten vermeiden, die vermeintliche freie Versionen von Bezahl-Apps zur Verfügung stellen. Viele solcher Anwendungen wurden verändert und mit Schadsoftware versehen.
Nutzer-Bewertungen können wertvolle Hinweise geben: Wenn sich bei der Beschreibung einer App die negativen Beschreibungen und Warnungen häufen, so sollten Anwender dies als Hinweis nehmen und solche Apps meiden.
Daten schützen, mobiles Telefon/Tablet schützen: Nutzer sollten wenn möglich ihre Daten auf ihren mobilen Geräten und auf Cloud-Speichern verschlüsseln.
Schutzsoftware auch auf mobilen Geräten: Der Einsatz von Antivirenlösungen und anderer Schutzsoftware ist auf mobilen Systeme noch viel zu wenig verbreitet. Wobei es auf diesen Geräten weniger um den Schutz von Viren als um die Zugriffe der Apps und schädliche Anwendungsprogrammen, die beispielsweise auf die Daten der Nutzer greifen oder kostenpflichtige Dienste nutzen.
Eine besonders dreiste Geschäftsidee: Bazuc
Von Google wurde mit der App Bazuc eine Geschäftsidee für Gratis-Apps aus dem Play Store entfernt, die ein besonders gutes Beispiel für die häufig merkwürdigen Methoden solcher Anbieter ist: Den Anwendern wurde die Möglichkeit versprochen, durch die Installation dieses App "einfach Geld zu verdienen", indem sie der App erlauben, die nicht benötigten SMS-Nachrichten für die Zwecke des Anbieters einzusetzen. Dieser setzt auf die Tatsache, dass viele Nutzer eine Flatrate für SMS oder wenigsten eine so große Anzahl von kostenlosen SMS mit ihrem Mobilfunkvertrag besitzen, dass sie diese unmöglich alle verwenden können. Die Bazuc-App versendet dann auf diesem Weg beispielsweise Massen-SMS im Auftrag anderer Firmen. Da diese so mit der Kennung des jeweiligen Nutzers versendet werden, können so zumeist Spam-Filter und ähnliche Schutzmaßnahmen wirkungsvoll umgangen werden.
Die App wurde laut Aussagen der Spezialisten von Lookout aus dem Google Play Store zwischen 10.000- und 50.000-mal heruntergeladen, bevor sie schließlich entfernt wurde. Der Verlockung des "freien Geldes" können dann wohl doch nur wenige Nutzer wiederstehen. Der Anbieter stellt seine Geschäftsidee und damit auch noch die App weiterhin auf seiner Web-Seite zum Download bereit. Spätestens der scheinbar durch ein Übersetzungsprogramm mehr schlecht als recht erstellte Text auf der Seite sollte aber jeden vernünftig denkenden Nutzer vom Download und Gebrauch dieser Gratis-App abhalten. Auch wenn der Anbieter vollmundig verspricht, dass sie demnächst dann im Apple App Store erhältlich sei.
Zum Abschluss: Eine Kostenpflichtige App, die nichts tut
Also sind die Nutzer sicher, wenn sie auf Gratis-Apps verzichten? Das folgende Beispiel zeigt, dass dem leider nicht so ist: Eine Sicherheits-App im Google Play Store, die 3,99 Dollar kostet, 10.000 Downloads und eine Bewertung von 4,7 Sternen aufweist - das kann doch nur eine gute Lösung sein?
Der Fall der App "Virus Shield", der ganz entscheidend durch das Team des Web-Blogs Android Police aufgeklärt wurde, demonstriert einen weiteres "Geschäftsmodell", das hier zwar keine Gratis-App anbietet, aber ebenfalls die Nutzer betrügt. In der Beschreibung der App "Virus Shield" wurde behauptet, dieses Programm könne verhindern, dass schädliche Apps auf dem Android-Gerät installieren werden. Leider war diese App Betrug in Reinform, den sie tat: Absolut nichts! Die Experten des Blogs haben das Programm heruntergeladen, ausprobiert und vor allen Dingen auch decompiliert - das Ergebnis haben sie in ihrem Blog publiziert. Wenigstens könnte man dem Anbieter "Deviant Solutions" zugute halten, dass er keine schädliche Software auf das Gerät bringt – aber Google hat diese App dann auch schnell aus dem Play Store verbannt.
Dieses Beispiel zeigt doch sehr schön, dass es nicht nur die Anwender von Gratis Apps sind, die versuchen die Nutzer mittels unlauterer Geschäftsmodelle zu schädigen: Auch kostenpflichte Apps nutzen oft unlautere Geschäftsmodelle und wenn sie einfach nur Snake Oil anbieten. (mb/cvi)