Woran erkenne ich gefährliche Apps? 5 Tipps

Kennst du das? Du willst eine App herunterladen und musst erstmal gefühlt unendlich viele Rechte abtreten, bevor du sie überhaupt installieren darfst?

Inzwischen gibt es eine regelrechte Flut an Anwendungen für iOS, Android, Windows und Blackberry, die entweder über Ihren eigenen App-Store oder Drittanbieter vertrieben werden. Aber sind auch alle Geld und Zeit wert? In diesem Artikel geben wird dir 5 Tipps, wann du lieber die Finger von einem App-Download lassen solltest.

Mit Trug und Recht

Das derzeit größte Problem bei mobilen Anwendungen, egal welches Betriebssystem, ist das Thema Zugriffsrechte. Viele Apps verlangen fast eine Art Freibrief beim Installieren. Im Besonderen kostenlose Anwendungen bezahlst du am Ende mit deinen Daten.

Frag dich also vor dem Downloaden, warum zum Beispiel deine gratis Taschenlampen-Anwendung auf deine Kernfunktionen zugreifen möchte. Es gibt – bei Lichte gesehen – keinen Grund dafür. Genauso wenig, dass eine App wie dein Wecker Zugang zu Kontakten, Fotos oder Standorten hat.

Warum ist das nun gefährlich? Ganz einfach: Weißt du, was mit deinen Daten wirklich passiert? Schützt der Anbieter deine Informationen vor Missbrauch oder nutzt er sie für Datensammlungen und verkauft sie an Werbetreibende oder Marktforschungsunternehmen?

Mit solchen Anwendungen, die Standorte abfragen, wird „Tracking“ zum potentiellen Problem. Einige Experten vermuten, dass die Informationen – wenn sie in falsche Hände geraten – Kriminelle animieren könnten, deine Wohnung auszuräumen, wenn du beispielsweise im Urlaub bist.

Adware statt Bares

Immer mehr Anwendungen werden in App Stores für lau angeboten. Der Haken daran ist, dass du von nun an für Standardfunktionen schön viel Werbung bekommst. Erst, wenn du auf die Premium-Variante umsteigst (die natürlich nicht frei Haus ist), kannst du dein Spiel oder die Anwendung als solche ohne Anzeigen wortwörtlich auskosten.

In den meisten Fällen lässt sich das ertragen. Doch auch hier lauert die Gefahr, denn häufig wird während der Entwicklung solcher Apps die Ad-Library eines Drittanbieters eingebunden. Dieser ist auch verantwortlich dafür, dass Werbung eingeblendet wird. Das Problem ist nur, dass sowohl der Entwickler als auch der User nicht wissen, was diese Ad-Library wirklich treibt. So zum Beispiel die sogenannte Vulna Ad Library, die private Daten von Nutzern sammelt, wie SMS-Inhalte oder den Telefonverlauf. Im schlimmsten Falle könnten diese Werbeanzeigen auch schädlichen Code enthalten und damit Smartphones infizieren. Forscher schätzen, dass Anwendungen, in denen Vulna im Hintergrund läuft, mehr als 200 Millionen Mal heruntergeladen wurden.

Im Namen der Täuschung

iTunes und Google Play sind im Allgemeinen gut auf Draht bei der Identifizierung von verseuchten Apps. Dennoch rutscht die ein oder andere infizierte Anwendung mal durch. Doch Nutzer gehen ein weitaus größeres Risiko ein, wenn sie bei Drittanbietern herunterladen.

Das kann schon mal ins Auge gehen, wenn man in diesen Stores nicht besonders wachsam ist und einfach Anwendungen herunterlädt, die klingen und aussehen wie die gesuchte, echte App. Denn dabei könnte es sich um eine Raubkopie handeln, die heimlich Daten von dir sammelt. Oder – traurig, aber wahr – du findest zwar die echte App, aber bei Drittanbietern sind von Kriminellen gecrackte oder neu verpackte Versionen nicht selten.

In-App Einkäufe

In-App-Einkäufe haben’s oft in sich, doch weniger beim Thema Sicherheit. Die Gefahr lauert an anderer Stelle, denn Nutzer können damit weitaus mehr Geld ausgeben als eigentlich gewollt.

Es gibt unendliche Geschichten über Kinder, die mit dem iPad oder iPhone ihrer Eltern selbige durch In-App-Einkäufe arm machten. Das führte dazu, dass Apple letztes Jahr mehr als 32,5 Millionen Dollar voll zurückerstatten musste.

Nutzer, vor allem solche mit Nachwuchs, sollten die Zugriffe ihrer Kinder auf iOS- und Android-Geräten beschränken. Für In-App-Einkäufe funktioniert dies bei Apple über Einstellungen à Allgemein à Einschränkungen à Einschränkungen aktivieren. Für Android geht man auf App-Einstellungen à Nutzerkontrolle à PIN festlegen.

Authentifizierung: Lieber einmal mehr

Authentifizierung ist immer ein Thema rund um Online-Services; Passwörter sind knackbar und oft nicht einfach zu verwalten. Auch biometrische Identifizierung und Einmalanmeldungen haben ihre Mängel.

Mit Letzterem, auch Single Sign-ons (SSO) genannt, können wir unsere Facebook- oder Twitter-Profile nutzen, um uns auf verschiedenen Webseiten einzuloggen. Das geht schnell und ist bequem, schützt aber vor Angriffen nicht. Kriminelle könnten über einen Brute-Force-Angriff an das Passwort für diese sozialen Netzwerke gelangen – und hätten dadurch gleichzeitig Zugang zu den anderen Accounts.

Wer glaubt, biometrische Authentifizierungsmethoden seien unfehlbar, der irrt, zumindest wenn es kein Back Up-Verfahren gibt. Wie leicht sich ein Fingerabdruck klonen lässt, haben Forscher zuletzt bei einem Samsung Galaxy S5 veranschaulicht.

Und auch wenn Apple iOS-Entwicklern verbietet, auf die UDID (Unique Device ID) – die eindeutige Identifikationsnummer eurer Geräte – zuzugreifen, zeigt eine Studie von Appthority, dass es 26 Prozent der Top-iOS- Anwendungen es trotzdem gemacht haben.

Die Moral von der Geschicht: Verwende SSO nur für Apps und Webseiten, denen du wirklich vertraust und nutze Zwei-Faktor-Authentifizierungen (2FA) so viel als möglich für Identifizierungszwecke.

Unverschlüsselte Daten sind keine Lösung

Die traurige Wahrheit ist, dass viele App-Entwickler ihre Anwendungen schnell auf den Markt werfen und wichtige Dinge wie Sicherheits- und Privatsphäre-Einstellungen oft vernachlässigt werden oder ganz fehlen. Apps mit Schwachstellen sind leider heute keine Ausnahme mehr.

Eine Anforderung an alle Anwendungen sollte die Verschlüsselung von Daten sein. Apps wie WhatsApp, Viber und viele andere fanden heraus, dass fehlende Verschlüsselung ein Risiko darstellt, weil es Kriminellen ermöglicht, Daten zu stehlen – einschließlich Benutzernamen, E-Mail-Adresse, Telefonnummer, Aufenthaltsort und Bankinformationen.

Noch trauriger ist allerdings, dass es für User keinen direkten Weg gibt zu erfahren, ob die App die Daten auch schützt, die sie speichert oder überträgt. Von daher solltest du bei den allgemeinen Geschäftsbedingungen ein Auge mehr riskieren und App-Rezensionen aufmerksam lesen. Technisch Versierte können die Daten und Speicherung überwachen, aber das ist ein Kapitel für sich.

Autor , ESET