Android: 18.000 Apps verfolgen unerlaubt Nutzeraktivitäten
Erst vor kurzem hat Google einen Einblick in die Bemühungen gegeben, Nutzer vor schadhaften Apps zu schützen. Jetzt wurde bekannt, dass eine große Anzahl von Entwicklern mit ihren Programmen entgegen der Richtlinien von Google das Verhalten der Nutzer tracken, unter den Apps sind auch einige bekannte Namen.
Das geht aus einer Studie des International Computer Science Institute hervor. So sollen von 24.000 bis September 2018 beobachteten Android-Applikationen über 17.000 die Anwender durch die Kombination der Werbe-ID, der IMEI, der MAC-Adresse oder über die Android-ID sowie die Seriennummer der SIM-Karte eindeutig zu identifizieren gewesen sein. Bis zum heutigen Tage ist die Anzahl der verdächtigen Apps auf rund 18.000 angewachsen. Die Apps wurden von dem Team rund um den Sicherheitsexperten Serge Egelman zufolge unter Android 6 Marshmallow getestet, da über die Hälfte der verbreiteten Android-Devices mit dieser oder einer älteren OS-Version betrieben werden.
Anwender mit wenigen Möglichkeiten
Während Nutzer zwar grundsätzlich die Möglichkeit besitzen, eine Werbe-ID zu löschen beziehungsweise diese neu generieren zu lassen, ist eine neue Android-ID nur durch ein komplettes Zurücksetzen des Gerätes auf die Werkseinstellungen und damit einem deutlich höheren Aufwand und dem Löschen aller Daten auf dem Gerät verbunden. Die anderen Identifikationskomponenten sind im Normalfall nicht änderbar.
Mit dem Sammeln dieser Informationen sollen die Entwickler den Forschern zufolge die in den Android-Einstellungen verfügbare Deaktivierung personalisierter Anzeigen umgangen haben, denn selbst wenn die Werbe-ID oder auch die Android-ID erneuert wurde, lässt sich der Nutzer spätestens über die IMEI wieder eindeutig zuordnen. Das einzige, was hier helfen würde, wäre ein neues Gerät sowie, bei Bedarf, eine neue SIM-Karte – für den Nutzer ein unverhältnismäßiges Unterfangen.
Verstoß gegen Vorgaben
Google erlaubt zwar das Sammeln von Informationen, über welche der Nutzer eindeutig identifiziert werden kann – jedoch nur mit seiner ausdrücklichen Zustimmung. Daher gibt das Unternehmen den Entwicklern vor, sich auf die Abfrage der Werbe-ID zur Identifizierung zu beschränken. Durch die jetzt entdeckte Praxis sollen die App-Entwickler laut den Sicherheitsexperten jedoch eindeutig gegen Googles Richtlinien bezüglich des Sammelns von Daten zu Werbezwecken verstoßen haben. Zudem sollen die gesammelten Informationen aufgrund der ermittelten Domains an andere Werbenetzwerke weitergegeben worden sein.
Forscher zählen einige bekannte Titel auf
Wer nun meint, dass diese Verfehlungen nur Apps für Taschenlampen oder ähnlichen zuzurechnen sind, wird eines bessern belehrt: In einer veröffentlichten Auswahl der 20 verbreitetsten Applikation finden sich auch bekannte Titel wie Temple Run 2, Angry Birds Classic, Cut The Rope Free oder Amazons Audible-App – alles Programme, welche 100 Millionen Installationen oder mehr aufweisen. Alleine diese Auswahl macht deutlich, wie viele Android-Nutzer von dem Problem betroffen sein könnten.
Nur wenige Reaktionen von Google
Über die Erkenntnisse der Untersuchung wurde Google bereits im September des vergangenen Jahres informiert. Das Unternehmen hat daraufhin den Bericht geprüft und gegen einige, nicht näher benannte Apps oder deren Entwickler Maßnahmen eingeleitet. Das Problem dabei: Laut eigenen Angaben von Google können Verstöße gegen die eigenen Richtlinien nur dann ermittelt werden, wenn die Daten der Nutzer dafür an das eigene Werbenetzwerk AdMob übermittelt werden. Daten, welche an anderer Stelle ausgewertet werden, können hingegen nicht von Google kontrolliert werden.
Zudem kritisieren die Forscher Googles Umgang mit der Problematik: So soll der Konzern in den letzten fünf Monaten seit der Übermittlung der Ergebnisse keine Informationen darüber verlauten haben lassen, wie er mit dem tiefgreifenden Problem in Zukunft umgehen wird. Die Forscher kritisieren zudem, dass Google Android-Nutzer mit Sicherheitseinstellungen, welche im Grunde nichts machen und lediglich die Werbe-ID kontrollieren, in falsche Sicherheit wiege.
Laut Cnet haben Rovio, Entwickler von Angry Birds, sowie Audible bisher keinen Kommentar zu den Vorwürfen abgegeben. Cheetah Mobile, das mit der App Battery Doctor ebenfalls in den Fokus der Forscher gerückt ist, gab an, dass das Unternehmen keine Android-IDs für Werbezwecke auslesen würde. Gleiches soll für die IMEI nach einem Update der App im Jahr 2018 gelten.