Studien sind ja immer so eine Sache. Das wissen wir spätestens seit der von Microsoft „finanziell unterstützten“ und dem Fraunhofer-Institut durchgeführten Spam-Mail-Untersuchung, bei welcher der E-Mail-Dienst des Software-Giganten Kritikern zufolge verdächtig gut abschnitt. Neben einem Blick auf die Untersuchungskriterien (im vorangehenden Beispiel wurden etwa Newsletter ohne weitere Untersuchung als Spam klassifiziert worden) lohnt daher immer auch ein Blick ins Kleingedruckte, wo sich der Auftraggeber respektive Durchführer der Studie versteckt. Wie bei der nachfolgenden Studie, die mit gar schrecklichen Ergebnissen um die Ecke biegt.
Wie Cnet berichtet, weisen sage und schreibe 20 Prozent der mittlerweile über 48.000 im Android Marketplace verfügbaren Apps massive Sicherheitslücken auf. Durch sie können Außenstehende auf sensible oder private Daten der User zugreifen – etwa auf E-Mails, SMS, Anruflisten oder den Aufenthaltsort des Gerätes. Diese Bedrohung sei ähnlich hoch, wie jene, die durch Spyware verursacht wird. Aber es kommt noch schlimmer.
Fünf Prozent der Android-Anwendungen könnten sogar dazu genutzt werden, ohne Wissen oder Dazutun des Users Anrufe an jede x-beliebige Nummer zu tätigen. Und weitere zwei Prozent wären imstande, unerlaubterweise SMS mit jeglichem Inhalt an kostenpflichtige Premium-Nummern zu verschicken. „Nur weil sie von einem bekanntem Ort wie dem Android Marketplace […] stammte, bedeutet das nicht automatisch, dass die App nicht schadhaft ist oder dort ein entsprechendes Sicherheitssystem existiert“, so mein Namensvetter Dan Hoffman, der den Android Market Threat Report (PDF) mit seinem Unternehmen erstellte.
Der Name seines Unternehmens lautet übrigens SMobile Systems und es handelt sich dabei – wie könnte es anders sein – um einen Hersteller und Anbieter von Sicherheitslösungen für Mobiltelefone. Und so verweist Hoffman auch völlig nonchalant auf hauseigene Anti-Spyware-Software, mit der sich die runtergeladenen Apps überprüfen ließen.
Damit will ich die geschilderte Gefahr nicht verharmlosen, einige von euch werden sich vielleicht bis dato noch nie über die potenziellen Gefahren, die von Phone-Apps ausgehen, Gedanken gemacht haben. Worauf ich hinaus will, ist, dass solche Meldungen oft eine Panik (unter wenig versierten Usern) verbreiten, obwohl sie Null-News sind, weil ihr Inhalt längst bekannt ist. Dass es Spyware-Apps gibt, dürfte ebenso verbreitet sein wie der Umstand, dass es einige schwarze Schafe unter den App-Entwicklern gibt. Hinzu kommt, dass viele beliebte Apps – aus dem Apple App Store sind mir beispielsweise Shazam oder Around Me bekannt (Stichwort: Pinch Media) – auch fleißig Nutzerdaten sammeln, ohne dass der User etwas dagegen unternehmen könnte. Oder möchte, weil er die App weiterhin nutzen will und das Sicherheitsrisiko nicht als so hoch erachtet. Zudem muss immer auch die Frage geklärt werden, ob bestimmte Einstellungen in einer App, die ein illegales Handeln ermöglichen würden, nicht für andere Zwecke notwendig sind. Für statistische Zwecke etwa, um ein ganz einfaches Beispiel zu benutzen.
Anderes Beispiel: In regelmäßigen Abständen bekomme ich Newsletter von irgendwelchen PC-Antiviren-Firmen, die mir mit erschreckenden Zahlen vor Augen führen, wie gefährdet mein PC ist und dass ich dringendst eine neue Antiviren-Software benötige. Bei näherem Hinsehen entpuppt sich das Ganze dann oft als Marketing-Strategie, die mit der Angst der User spielt – wie im obigen Fall. Oder seht ihr das anders? Und falls ja, würdet ihr euch mehr Sicherheitshinweise dieser Art hier auf dem Blog wünschen?
(Marek Hoffmann)
