Auf welche persönlichen Daten greifen Apps zu?
Die Spezialisten der Firma Lookout, die ihren Fokus auf die Sicherheit von mobilen Geräten gelegt haben, begannen bereits im Jahr 2011 mit dem sogenannten App Genome Project, mit dessen Hilfe sie die mobilen Apps und deren Aufbau übergreifend über verschiebende mobile Plattformen und Marktplätze für Apps untersuchen. Dabei wurden neben dem Android Play Store (damals noch Android Market) und dem Apple App Store auch jeweils zwei alternative App-Märkte für Android und iOS in die Untersuchung mit einbezogen.
Laut dieser Erhebung griffen bereits Ende 2011 mehr als ein Drittel der untersuchten Apps in den beiden großen App-Stores auf den jeweiligen Standort des Nutzers zu, mindestens zehn Prozent nutzen den direkten Zugriff auf die Kontakte. Es ist sicher nicht falsch, davon auszugehen, dass diese Art der Zugriffe im Lauf der letzten Jahre weiter zugenommen hat. So zeigte eine kürzlich durchgeführte Untersuchung der Security-Spezialisten von TÜV Trust IT aus Österreich ein noch erschreckenderes Bild: Bei einer Analyse von über 1000 mobilen Anwendungen fanden die Fachleute heraus, dass bei 45 Prozent der untersuchten Apps die potenzielle Möglichkeit besteht, dass mit ihnen Daten gestohlen werden.
Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen spezialisiert hat, kommt zu ähnlichen Ergebnissen: Sowohl bei Auskunfts-Apps, Reise-Apps oder Messenger gibt es teilweise erhebliche Sicherheitsmängel; die Experten raten bei vielen Apps von der Nutzung im Unternehmen als auch privat ab.
Immer wieder zeigt es sich dabei auch, dass viele Gratis-Apps mit Hilfe der integrierten SDK ein Device-Tracking durchführten: Sie verfolgen anhand bestimmter Daten und Merkmale, die sie auf dem Gerät auslesen, das Smartphone oder Tablet und damit den Nutzer und seine Gewohnheiten. Zu diesen Daten, die dabei häufig ausgelesen werden, gehören unter anderem:
die IMEI (International Mobile Equipment Identity) – eine fünfzehnstellige für jedes Mobilgerät eindeutige Identifikationsnummer. Sie ändert sich auch dann nicht, wenn beispielsweise die SIM-Karte eines Smartphones ausgetauscht wird.
die IMSI (International Subscripter Identity) – sie dient zur Identifikation eines Geräts innerhalb eines mobilen GSM- und UTMS-Netzwerks. Auch sie besteht aus 15 Ziffern. Anhand dieser Nummer ist es beispielsweise auch möglich festzustellen, über welchen Provider sich das Gerät angemeldet hat.
die UDID (Unique Device ID) – eine spezielle Gerätekennung der iOS-Geräte von Apple, die unter anderem auch als Kennung bei Einkauf im App-Store zum Einsatz kam. Seit der Version iOS 6 untersagt Apple deren Verwendung in Apps. Beim aktuellen iOS7 kam zudem eine Funktion hinzu, die das Auslesen dieser Nummer und unter anderem auch der WLAN MAC-Adresse unterbindet.
die Android ID – eine eindeutige 64 Bit lange Nummer, die das Gerät automatisch beim ersten Einschalten erstellt. Sie kann sich allerdings ändern, wenn das Gerät gerootet oder auf den Werkszustand zurückgesetzt wird.
die WLAN MAC-Adresse: Genau wie bei den normalen Netzwerk-Adaptern handelt es sich auch hier um einen eindeutige Adresse, mit der die Netzwerkschnittstelle des Gerätes identifiziert werden kann.
die üblichen Daten wie: Gerätetyp, Betriebssystemversion, Jail Break/Rooting-Status, Geoposition und Telefonnummer.
- ADAC Pannenhilfe
Die App ist kostenlos für Android und iOS verfügbar. - ADAC Pannenhilfe für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - ADAC Pannenhilfe für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden. - ADAC Pannenhilfe für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - ADAC Pannenhilfe für iOS
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden. - Booking für iOS
Die App ist kostenlos für iOS verfügbar. - Booking für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab. - Booking für iOS
WIFI MAC wird unverschlüsselt und verschlüsselt an mehrere Werbe-Netzwerke übertragen. Suchbegriffe werden unverschlüsselt an ein Tracking-Netzwerk übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy - City Maps 2Go für iOS
Die App ist kostenpflichtig für iOS im App Store verfügbar. - City Maps 2Go für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - City Maps 2Go für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - DB Navigator
Die App ist kostenlos für Android und iOS verfügbar. - DB Navigator für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - DB Navigator für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - DB Navigator für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - DB Navigator für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Europcar
Die App ist kostenlos für Android und iOS verfügbar. - Europcar für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - Europcar für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Europcar für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - Europcar für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Expedia
Die App ist kostenlos für Android und iOS verfügbar. - Expedia für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab. - Expedia für Android
IMEI und Android ID werden unverschlüsselt an ein Werbe-Netzwerk übertragen. IMSI und Geo-Daten werden unverschlüsselt an ein Analytics-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen. - Expedia für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab. - Expedia für iOS
WLAN MAC und IDFA werden unverschlüsselt an ein Werbe-Netzwerk übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy. - Feiertage und Schulferien
Die App ist kostenlos für Android und iOS verfügbar. - Feiertage und Schulferien für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - Feiertage und Schulferien für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden. - Feiertage und Schulferien für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - Feiertage und Schulferien für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Hertz
Die App ist kostenlos für Android und iOS verfügbar. - Hertz für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - Hertz für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden. - Hertz für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - Hertz für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Hotel Suche HRS
Die App ist kostenlos für Android und iOS verfügbar. - Hotel Suche HRS für Android
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich. - Hotel Suche HRS für Android
WIFI MAC und Android ID werden verschlüsselt an ein Tracking-Netzwerk übertragen. Vor- und Nachname, E-Mail-Adresse und Telefonnummer werden verschlüsselt an ein Analytics-Netzwerk übertragen. - Hotel Suche HRS für iOS
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich. - Hotel Suche HRS für iOS
Vor- und Nachname, Nutzername, E-Mail-Adresse und Kundennummer werden verschlüsselt an ein Analytics-Netzwerk übertragen. WIFI MAC und WIFI SSID (Access Point) werden verschlüsselt an ein Analytics- und Tracking-Netzwerk übertragen. Suchbegriffe werden unverschlüsselt übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy. - Sicher reisen
Die App ist kostenlos für Android und iOS verfügbar. - Sicher reisen für Android
mediaTest stuft die Android-App als sicher nutzbar ein. - Sicher reisen für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Sicher reisen für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein. - Sicher reisen für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden. - Stau Mobil für iOS
Die App ist kostenlos für iOS verfügbar. - Stau Mobil für iOS
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich. - Stau Mobil für iOS
WLAN MAC wird verschlüsselt an ein Tracking-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy. - TripAdvisor für Android
Die App ist kostenlos für Android verfügbar. - TripAdvisor für Android
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich. - TripAdvisor für Android
Suchbegriffe und Benutzername (E-Mail-Adresse) werden unverschlüsselt übertragen. - Trivago für Android
Die App ist kostenlos für Android verfügbar. - Trivago für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab. - Trivago für Android
IMEI, WIFI MAC und Android ID werden unverschlüsselt an ein Tracking-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen. - Urlaubspiraten
Die App ist kostenlos für Android und iOS verfügbar. - Urlaubspiraten für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab. - Urlaubspiraten für Android
Nutzername, Passwort, Android ID, Suchanfragen und Kommentare werden unverschlüsselt übertragen. - Urlaubspiraten für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab. - Urlaubspiraten für iOS
Nutzername, Passwort, Suchanfragen und Reisealarme werden unverschlüsselt übertragen.