Quizduell, Eurosport, Shazam: Sicherheitslücken und Datenklau in fünf beliebten Apps

Quizduell, Eurosport, Shazam: Sicherheitslücken und Datenklau in fünf beliebten Apps

Das neutrale Testinstitut mediaTest digital aus Hannover hat fünf beliebte mobile Apps überprüft. Die Sicherheitsexperten haben die Anwendungen speziell im Hinblick auf Sicherheitslücken und Datenschutz untersucht und das Gefahrenpotential für private Nutzer und Unternehmen analysiert. Die Ergebnisse hat medaTest digital heute im Rahmen der CeBIT 2014 vorgestellt.

In einer groß angelegten Testreihe haben die Experten über 6.000 der beliebtesten Apps für Android und iOS untersucht. Hier die Ergebnisse fünf ausgewählter und bekannter Anwendungen in der Übersicht:

  • Shazam (iOS, Version 7.4.1): Die App zur Erkennung von Musiktiteln ist weit verbreitet. Sie identifiziert aber nicht nur Songs, sondern auch die eindeutige Gerätenummer (IMEI) und die Kennung der Netzwerkkarte (MAC-Adresse) und überträgt diese an Dritte. Dadurch können Gerät und Nutzer eindeutig ausfindig gemacht und im Netz verfolgt werden. In Kombination mit den Standortinformationen, die Shazam in verschlüsselter Form und mit hoher Frequenz sendet, kann ein detailliertes Profil des Nutzers erstellt werden. Die gewonnen Daten landen bei Werbenetzwerken und weiteren Empfängern. In der iOS-Version schickt Shazam auch noch die DFA-Nummer (Identifier for Advertisers) mit, eine spezielle Kennung zur Überwachung der Gewohnheiten von iPhone-Nutzern zum Anzeigen passender Werbung.
  • Quizduell (Android, Version 1.3.2): Das populäre Quizspiel kommuniziert rege mit Werbenetzwerken. Dabei wird nicht nur der unverschlüsselte Benutzername übertragen, sondern auch eine verschleierte Gerätenummer, weitere eindeutige IDs und sogenannte Hash-Werte gesendet. Diese Daten reichen aus, ein genaues Profil des Spielers zu erstellen. So können Nutzer wiedererkannt werden und ihr Verhalten verfolgt werden.
  • Eurosport (Android, Version 3.7.1): Benutzername und Passwort sind der beliebten Sport-App nicht so wichtig, denn sie werden ohne Verschlüsselung übertragen. Das stellt ein klares Sicherheitsrisiko dar. Andere Daten werden dagegen verschlüsselt gesendet, allerdings an Werbenetzwerke. Ungefragt überträgt die Anwendung IMEI, MAC-Adresse und Android-ID.
  • Hotel.de (iOS, Version 2.1): Die Anwendung des Hotel-Buchungsportals verstößt gegen das Bundesdatenschutzgesetz (BDSG). Die App überträgt die kompletten Details von Buchungen und weitere personenbezogene Daten unverschlüsselt. Damit ist die Kommunikation ungeschützt vor Angreifern und Datensammlern.
  • The Wall Street Journal (Android, Version 2.4.0): Auch diese Anwendung gibt Anwenderdaten unverschlüsselt an ein Werbenetzwerk weiter. Die Übertragung gerätebezogener Informationen wie IMEI und Android-ID des Nutzers ermöglichen die Erstellung von Nutzerprofilen.

Die Experten sehen ihre Analyse als repräsentativen Querschnitt weit verbreiteter mobiler Anwendungen. Das Testinstitut mediaTest digital betont, dass die Problematik nicht nur Android und iOS, sondern auch Blackberry und Windows Phone betrifft. Von den über 6.000 analysierten Anwendungen sollen mehr als die Hälfte die beschriebenen oder ähnliche Sicherheitsprobleme haben.

Erst vor kurzem hatte die Stiftung Warentest fünf beliebte Messenger-Apps beurteilt und ähnlich kritisch eingestuft.

Passende Artikel

Quelle: Pressebox

  • Link Kopiert!
Kommentare laden