Das Smartphone ist für viele nicht mehr wegzudenken. Die kleinen mobilen Computer hüten nicht nur unsere Kontakte und alle Textnachrichten: Sie wurden zum zentralen Speicherort für Urlaubsfotos, Termine, Fitnessleistungen und Email-Verkehr. Logisch also, dass wir besonders gut auf unsere Handys achten sollten.
Fast alle Betriebssysteme erlauben es mittlerweile, App-Berechtigungenselbst einzustellen. So können die Nutzer selbst entscheiden, wann eine Anwendung zum Beispiel auf Standortdaten oder die Kamera zugreifen darf. Google ermöglicht das seit dem Android-6-Release. Forscher des International Computer Science Institute (ICSI) haben jetzt allerdings herausgefunden, dass diese Sicherheitseinstellungen in der Praxis oft nicht funktionieren.
88.113 der beliebtesten Apps aus dem Google-eigenen App-Store wurden von den Forschern auf Datenübertragung trotz entzogener Berechtigung überprüft. Auf der PrivacyCon 2019 präsentierten sie das ernüchternde Ergebnis: Mehr als 1300 Apps umgehen die Berechtigungen.
Siebzig der untersuchten Apps greifen demnach auf die Standorte der Nutzer zu, ohne dass sie dazu berechtigt waren. Das funktioniert, da die Anwendungen auf die am Smartphone gespeicherten Fotos zugreifen und dort die jeweiligen Metadaten auswerten. 13 Apps holten sich Informationen über andere am Gerät installierte Apps, die berechtigt für den Zugriff waren. Jedoch hätten 153 Anwendungen die Voraussetzung, das auch zu tun - darunter auch die Samsung Health App und der Samsung Browser, die weltweit auf über 500 Millionen Geräten installiert sind. Im August wollen die Forscher eine vollständige Liste der 1325 Apps auf dem Usenix Security Symposium veröffentlichen.
Bereits im September haben die Forscher ihre Ergebnisse an Google weitergegeben. Die Fehler würden in der kommenden Android-Version “Q” behoben werden. Die vollständige Arbeit "50 Ways to Leak Your Data" ist frei zugänglich.
