Vor allem kostenlose Apps haben eigentlich nur ein Ziel: Daten zu stehlen, um sie an Werbefirmen zu verkaufen – und damit Geld auf Kosten des Nutzers zu verdienen. Das Magazin «c’t» zeigte auf: Fast alle von 50 getesteten kostenlosen Android-Apps senden die Identifikationsnummer des Smartphones und andere Informationen an Werbepartner und Statistikfirmen. Heimlich.

So auch die beliebte Musik-App Shazam. Sie soll eigentlich nur die in der Umgebung gespielte Musik erkennen. Doch ganz nebenbei gibt sie auch den Aufenthaltsort des Nutzers und die Smartphone-ID an die Werbefirmen Mologiq und Admarvel weiter. Verhindern kann das der Nutzer nicht, er weiss es noch nicht einmal. Das Spiel «Wer wird Millionär? 2014» sendet eine Liste der installierten Apps an den Werbeanbieter Revmob. Das Spiel «Subway Surfers» beliefert gleich fünf Werbefirmen mit Daten wie der Seriennummer des Smartphones, dem Namen des Mobilfunkproviders und des genutzten WLAN. Diese Infos leitet auch Spielehersteller Zynga an Werbepartner weiter.

«Fast unmöglich zu kontrollieren»

Auf dem iPhone können sich Nutzer schützen: Man kann jeder App verbieten, auf die Ortungsfunktion, Kontakte oder Kalender zuzugreifen. Das ist beim Betriebssystem Android bis heute nicht möglich. Schnüffel-Apps fordern alle Berechtigungen bereits beim Installieren. «Für Nutzer ist nur schwer nachvollziehbar, was man alles freischaltet. Das machen sich unseriöse Entwickler zunutze», sagt der Zürcher Manuel Kasper, Entwickler der App Threema Messenger. «Wenn eine App mal die Berechtigung hat, Daten auszulesen, ist fast unmöglich zu kontrollieren, was sie damit macht.»

Da sich die meisten Apps die ID des Smartphones holen, sind die an Werbefirmen gesandten Informationen eindeutig einem Nutzer zuzuordnen und erlauben mit der Zeit ein immer genaueres Profil. Erst ab August soll bei Android eine Werbe-ID die Smartphone-ID ersetzen, die der Nutzer selbst zurücksetzen kann.

«Wenn der Programmierer erst einmal gewisse Berechtigungen besitzt, hat er viele Möglichkeiten – er kann zum Beispiel teure Premium-SMS versenden oder via SMS ein Abo abschliessen», sagt Sandro Strebel, Co-Programmierer der Bring!-Einkaufslisten-App von Publisheria in Zürich. Das kann ins Geld gehen wie bei der Nachtsicht-App Cámara Visión Nocturna, die Anfang Jahr im Google Play Store zu finden war. Sie machte grünlich-verrauschte Bilder – und verschickte nebenbei teure SMS.

Riskant: Bankgeschäfte via Smartphone

Auch das Erschnüffeln von Passwörtern ist ein Thema. «Man hört immer wieder von gesperrten E-Mail-Konten, die ein Dieb erst freigibt, wenn man Lösegeld zahlt», sagt Olivier Oswald von Apps with Love in Bern. Datendiebe suchten aber auch Kontaktdaten oder heikle Informationen wie Bilder, Passwörter oder Kreditkarteninfos. «Man sollte nie sensible Daten auf Smartphones oder Tablets speichern oder bearbeiten. Und schon gar keine Bankgeschäfte darüber erledigen», rät Max Klaus von der staatlichen Melde- und Analysestelle Informationssicherung (Melani).

Für Betrüger noch lukrativer ist das Belauschen und Manipulieren von Banking-Apps – mit dem Ziel, das Konto leer zu räumen. «Wir kennen einen konkreten Fall mit einer App, die vorgab, von einer bestimmten Schweizer Bank zu stammen», erzählt Max Klaus. Sie wurde von Betrügern zum Download angeboten. Nutzer gaben ihre Kontozugangsdaten ein, die App leitete sie an die Betrüger weiter. Mittlerweile wurde die App aus dem Store gelöscht. Die Masche bleibt aber attraktiv: Apps tarnen sich als kostenlose Variante kostenpflichtiger Apps, um dann Daten auszuspähen.

Für Nutzer ist kaum nachvollziehbar, warum eine App eine Berechtigung fordert. Das wird meist ungelesen abgenickt. Bald will Google zudem nicht mehr alle angeforderten Berechtigungen anzeigen, sondern nur noch Kategorien. Uneingeschränkter Internetzugriff wird gar nicht mehr speziell angezeigt. Der sei heute normal, so Google.

Adressen für die Taschenlampen-App?

Das Risiko lässt sich immerhin minimieren, indem man Apps nur aus dem offiziellen Google Play Store herunterlädt. Vorab sollte man zudem die dortigen Bewertungen prüfen. «Wichtig ist, dass man die Vertrauenswürdigkeit einer App als Ganzes beurteilt», sagt Experte Manuel Kasper. Zwar ist die Berechtigung zum Datenaustausch über das Internet bei den meisten Apps mittlerweile Standard – nur so können kostenlose, werbefinanzierte Apps Werbung nachladen. Doch in Kombination mit anderen Berechtigungen (siehe Tabelle auf der nächsten Seite) steht dem Datenklau nichts im Weg. Wenn eine Taschenlampen-App Zugriff auf das Adressbuch benötigt, sollte man sich nach einer Alternative umsehen.

«Seriösen Entwicklern ist es wichtig, nur das absolute Minimum an Berechtigungen einzufordern», sagt App-Entwickler Olivier Oswald. Sonst gebe es rasch negative Bewertungen im App-Store. «Man kann auch beim Entwickler direkt nachfragen, wofür die Berechtigungen tatsächlich nötig sind», empfiehlt Programmierer Sandro Strebel. Seriöse Entwickler gäben gern Auskunft.

Wie man Schnüffel-Apps austricksen kann

Bei Smartphones mit Android-Betriebssystem Version 4.3 bis 4.4.1 kann man mit Hilfsprogrammen wie App Ops versuchen, installierten Apps einzelne Berechtigungen zu entziehen. Ab 4.4.2 funktioniert das nicht mehr.

Mit allen Android-Versionen arbeitet dagegen der ähnlich gelagerte App Guard (www.srt-appguard.com).

Für entsperrte Android-Smartphones gibt es gleich eine ganze Reihe solcher Hilfsprogramme. Allerdings ist nicht garantiert, dass die App nach einem Eingriff noch funktioniert.

Einen anderen Weg beschreitet die App Fake Permission. Sie entzieht nicht Berechtigungen, sondern versorgt datenhungrige Schnüffel-Apps mit leeren Kontaktlisten und Kalendern sowie einem falschen Standort.

Berechtigungen für Android-Apps: Hier wirds verdächtig

Berechtigung Wofür gedacht? Was passiert bei Missbrauch?
Telefonnummern direkt anrufen Apps wie Skype oder Google Talk können direkt, ohne Umweg über die Telefon-App, Telefonate tätigen. Apps können unbemerkt teure kostenpflichtige Nummern anrufen.
USB-Speicherinhalte ändern oder löschen Spiele-Apps können Spieldaten, Foto-Apps Bilder im Telefonspeicher ablegen oder zum Bearbeiten einlesen. Die App erhält Zugriff auf den kompletten Speicher. In Verbindung mit Internetzugriff könnte eine App heimlich private Bilder und andere Dateien ins Internet hochladen.
SMS/MMS -senden, -bearbeiten, -empfangen Apps können direkt und ohne Umweg über die SMS-App Kurznachrichten versenden. Apps können unbemerkt Premium-SMS versenden und so teure Abos abschliessen.
Kontakte lesen, Kontakte ändern Messenger wie WhatsApp oder Facebook brauchen Zugriff auf das Adressbuch im Telefon. Apps können die eigenen Kontakte, Adressen und Geburtstage und damit auch Daten von Freunden und Bekannten lesen und in Verbindung mit Internetzugriff ins Internet hochladen.
Vertrauliche Protokolldaten lesen (ab Android-Version 4.1 gesperrt) Sicherheits- und System-Apps können so zum Beispiel Fehlerberichte anderer Apps auslesen. In den Protokolldaten können auch vertrauliche und sensible Daten wie Passwörter enthalten sein.
Telefonstatus und Identität abrufen Unter anderem Spiele-Apps klären damit, ob ein Telefonat geführt wird oder ein Anruf hereinkommt, um die Aktivität zu unterbrechen. Damit erhält die App aber auch die individuelle IMEI-Nummer des Smartphones und kann den Besitzer quasi identifizieren.
Standort (genau oder ungefähr) Google Maps, Reiseführer, Navi-Apps und Apps, die Orte in der Umgebung anzeigen, brauchen die Standortdaten. Die Angaben können für unerwünschte, auf den Aufenthaltsort zugeschnittene Werbung missbraucht werden.
Zugriff auf alle Netzwerke/-Daten aus dem Internet abrufen Erlaubt den Zugriff auf das Internet. Browser brauchen ihn, viele kostenlose Apps laden darüber Werbung nach. Die App kann Daten, auf die sie durch andere Berechtigungen zugreifen darf, unkontrolliert ins Internet hochladen.
Kalendertermine und vertrauliche Informationen lesen Apps, die Termine in den Kalender eintragen, brauchen diesen Zugriff. Die App kann den gesamten eigenen Kalender und damit möglicherweise auch Angaben über Freunde und Bekannte lesen und bei Internetzugriff ins Internet hochladen.
Bilder/Videos aufnehmen Foto-Apps können auf die Kamera zugreifen. Apps können auch unbemerkt die Kamera einsetzen und Bilder oder Videos aus dem Kamerasichtfeld ins Internet hochladen.