Schlagwort: Apps
9. November 2012
Die Ministerin des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) Ilse Aigner sieht Medienangaben zufolge Entwickler von Apps und Smartphonehersteller in der Pflicht, für die Gewährleistung von hinreichendem Datenschutz zu sorgen. Insbesondere Apps würden eine Haupteinfallstelle für Datenmissbrauch darstellen, da diese auch auf Daten zugreifen, die nicht benötigt werden. Die Anbieter müssen nach Aigner die Verbraucher mit hohen Sicherungsvorkehrungen effektiv vor Datenmissbrauch schützen. Jeder Verbraucher müsse “jederzeit die volle Kontrolle über seine Smartphone-Daten” behalten können. Aigner beabsichtige außerdem, sich im Rahmen der Entwicklung der zur Zeit stattfindenen Entwicklung der EU-Datenschutz-Grundverordnung für die Verpflichtung zu datenschutzfreundlichen Voreinstellungen und zur Berücksichtigung des Datenschutzes im Produkt-Design stark zu machen (privacy by design). So müsse beispielsweise stets der Verbraucher den Zugriff auf Kontaktdaten oder den Standort ausdrücklich erlauben (Opt-In-Verfahren), nicht etwa die App im Alleingang auf die Daten zugreifen.
7. November 2012
Wer sich kostenlose Apps herunterlädt, sollte dies nicht als wohltätige Zuwendung der Programmierer empfinden. Fast immer “bezahlt” der Nutzer mit Zugriffsrechten auf seine Daten. Nach einer Untersuchung des Netzdienstleisters Juniper Networks besteht bei kostenlosen Apps, die auf Basis der Android-Plattform operieren, ein erhöhtes Risiko für die Daten der Verbraucher. Diese greifen nach Erkenntnissen der Studie besonders häufig auf Standortdaten und Adressbücher der Nutzer zu, häufig ohne funktionelle Notwendigkeit und/oder vorherige Information des Verbrauchers. Juniper analysierte nach eigenen Angaben zwischen März 2011 und September 2012 circa 1,7 Millionen kostenlose und kostenpflichtige Apps unterschiedlicher Themenbereiche des Android-basierten Google Play Markets. Als besonders gefährliche Apps wurden dabei Renn- und Kartenspiele ausgemacht, die auffällig häufig nach SMS- und Anruf-Rechten griffen. Dabei war es jedoch unerheblich, ob diese kostenlos oder kostenpflichtig seien. Ganze 99% der kostenpflichtigen Rennspiele reklamierten unbegründet SMS-Rechts für sich. Dem gegenüber waren es noch ganze 92% bei den kostenlosen. Auch kostenlose Casino-Apps gerieten ins Visier der Untersuchung. 84% forderten unbegründet SMS-Rechte ein, 94% Anruf-Rechte und 84% Kamera-Rechte.
Juniper empfiehlt den Nutzern von Apps vor der Installation abzuwägen, ob die nicht abdingbare Zulassung der Zugriffsrechte durch die schlichte Installation der Apps tatsächlich hingenommen werden wolle oder ob es angesichts der undurchsichtigen Praktiken der Programme nicht von einer Installation Abstand genommen werden solle. Nutzer von iOS-Apps sollten sich angesichts der Ergebnisse der Studie jedoch nicht in Sicherheit wähnen. Eine Untersuchung der Apple-Apps war schlicht nicht möglich, da diese die untersuchten Informationen der Apps schon gar nicht zur Verfügung stellen.
30. Oktober 2012
Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.
Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.
Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.
9. Juli 2012
Die vergangene Woche vorgestellte App “SRT AppGuard” ermöglicht Android-Nutzern, die Berechtigungen der installierten Apps zu kontrollieren. Das Programm stammt von der Firma Backes SRT, einem Universitäts-Spin-Off initiiert von Prof. Dr. Michael Backes. Die App ist kostenlos herunterladbar, jedoch in Googles Play-Store derzeit nicht verfügbar. Die Anbieter haben die App auf ihrer Webseite zum Download bereitgestellt.
Android ist von Hause aus nur darauf ausgelegt, den Nutzer über die Berechtigungen von Apps zu informieren – eine Chance, einzelne teils sehr weitgehende Berechtigungen bei der Installation abzulehnen, besteht nicht. Lässt sich beispielsweise eine Wecker-App die Berechtigung zum Lesen der Kontaktdaten sowie vollständigen Internetzugriff einräumen, müsste man entweder auf die gesamte App verzichten oder hinnehmen, dass das Adressbuch den Weg ins Internet finden könnte. Eine Möglichkeit zur Kontrolle besteht nur auf solchen Smartphones, bei denen unter Verlust der Herstellergarantie der Root-Zugriff freigeschaltet wurde.
Die App “SRT AppGuard” kommt jedoch ganz ohne Root-Zugriff aus: Sie errichtet keine Blockade oder Firewall auf Systemebene, sondern entzieht jeder App einzeln ihre Berechtigungen. In drei Schritten wird die App zunächst deinstalliert, dann modifiziert und schließlich wieder installiert. Anschließend hat man über “SRT AppGuard” die Wahl, Berechtigungen bestehen zu lassen oder gezielt zu deaktivieren. Auch der Internetzugriff lässt sich so vollständig abschalten oder auf einzelne erlaubte Adressen beschränken.
“SRT AppGuard” vermag auf diesem Weg beim Schutz der eigenen persönlichen Daten wie auch der unternehmensbezogenen Daten auf privaten Geräten im dienstlichen Einsatz – Stichwort BYOD (“Bring Your Own Device”) – zu helfen.
6. Mai 2011
Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem “Oscar für Datenkraken” in der Kategorie “Kommunikation” ausgezeichnet.
Apple “verdiente” sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr “die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen”. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.
Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die “gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots” kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, “Handy-App” oder dem “Gefällt-mir”-Button eine “„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden” und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.
