Technik
Dienste wie AppSee schneiden das Nutzerverhalten unbemerkt mit. Das Problem: Kriminelle können das auch.
Dienste wie AppSee schneiden das Nutzerverhalten unbemerkt mit. Das Problem: Kriminelle können das auch.(Foto: jwa)
Donnerstag, 05. Juli 2018

Schockierende Entdeckung: Apps verschicken heimlich Screenshots

Forscher wollen herausfinden, ob Apps ihre Nutzer belauschen. Dafür finden sie keine Beweise, doch sie entdecken etwas anderes: Manche Apps machen heimlich Videoaufnahmen und Screenshots. Ist das noch legitim oder schon kriminell?

Mit einem Smartphone in der Tasche ist man immer erreichbar, kann per GPS seinen Standpunkt bestimmen, mit Front- und Rückkamera Fotos schießen und über die eingebauten Mikrofone Sprachnachrichten verschicken und telefonieren. Doch die Vielzahl der Sensoren macht manchen Nutzern auch Angst: Gibt es Apps, die uns ausspionieren? Die Kameras und Mikrofone heimlich anzapfen? Auf der Suche nach Schnüffel-Spuren fanden Forscher jetzt heraus, dass manche Apps noch auf andere Weise spionieren.

Brisanter als der Gmail-Fall?

Dass man bei der Installation von Apps mit Bedacht vorgehen und die Berechtigungen aufmerksam studieren sollte, die man der App erteilt, wissen viele. Doch auch vermeintlich harmlose und seriöse Apps wissen oft mehr über ihre Nutzer, als diese denken. Erst kürzlich berichtete das "Wall Street Journal" davon, dass App-Entwickler die Nachrichten von Gmail-Nutzern auslesen können. Doch der Skandal ist kleiner, als er wirkt, denn die Nutzer haben dazu ihr Einverständnis gegeben, auch wenn das vielen nicht klar war.

In einem anderen Fall, den Forscher der Bostoner Northeastern University jetzt aufgedeckt haben, ist die Sachlage anders. Eigentlich wollten sie der Frage nachgehen, ob Apps wie Instagram und Whatsapp heimlich ihre Nutzer belauschen und Audiomitschnitte an fremde Server schicken, berichtet "Gizmodo". Sie untersuchten den Datenverkehr von über 17.000 beliebten Android-Apps, darunter über 9000 Anwendungen, die Zugriff auf Kamera und Mikrofon haben, und über 8000 Apps, die Daten an Facebook senden. Die gute Nachricht: Bei keiner der untersuchten Anwendungen konnten sie Beweise dafür finden, dass diese ihre Nutzer heimlich belauschten und Audio-Aufzeichnungen unbemerkt an externe Server schicken.

Unbemerkte Screenshots und Videos

Doch die Forscher entdeckten etwas anderes: Manche Apps zeichnen offenbar unbemerkt auf, wie Nutzer mit ihnen interagieren, indem sie Bildschirmaufnahmen machen und die Screenshots und Videos dann an Server Dritter weitergeben. Im von Gizmodo genannten Fall handelte es sich um die App "GoPuff", die Bildschirminhalte an Server des Dienstes "AppSee" übermittelte. "AppSee" nutzt die Aufzeichnungen, um App-Entwickler dabei zu unterstützen, ihre Apps nutzerfreundlicher zu machen. Brisant ist aber, dass die Nutzer davon in aller Regel nichts wissen und auch nicht informiert werden, wenn ihr Nutzungsverhalten aufgezeichnet wird.

Appsee betont gegenüber Gizmodo, dass App-Entwickler, die dessen Dienste in Anspruch nehmen, ihre Nutzer darüber informieren müssen, dass Bildschirminhalte von Dritten aufgezeichnet werden können. Zudem dürften keinerlei persönliche Daten aufgezeichnet werden. Um das zu gewährleisten, könnten Kunden bestimmte Bereiche der App von der Aufzeichnung ausschließen. Doch dafür seien die App-Entwickler verantwortlich, in diesem Fall also GoPuff.  

Nach Bekanntwerden der Schnüffelei hat GoPuff seinerseits angegeben, die Dienste von AppSee nicht länger zu nutzen und die AppSee-Schnittstelle aus dem App-Code zu entfernen. AppSee wiederum gab zu Protokoll, die Tracking-Funktion bei GoPuff abgeschaltet und alle persönlichen Daten von seinen Servern gelöscht zu haben.

Methoden können auch Kriminelle nutzen

Die Unternehmen schieben sich also gegenseitig die Schuld zu. Doch für die Nutzer geht es nicht um die Schuldfrage. Erschreckend sei viel eher, betont Gizmodo, wie einfach es offenbar sei, Bildschirminhalte und Interaktionen in Apps aufzuzeichnen, ohne dass es die Nutzer bemerken. Schließlich könnten Screenshots und Bildschirm-Videos private Nachrichten und persönliche Daten enthalten und sogar geheime Passwörter aufdecken - viele Apps zeigen bei der Passworteingabe kurz den Buchstaben an, bevor er als schwarzer Punkt unkenntlich gemacht wird.

In einem Fall wie bei "AppSee" müssen die Nutzer zwar darüber informiert werden, dass Dritte Inhalte mitlesen können. Doch in den meisten Fällen sind diese Hinweise schwammig formuliert und tief in den AGB verborgen - die meisten Nutzer stimmen ihnen also wohl unwissentlich zu. Und wenn Dienste wie AppSee ohne weiteres Bildschirminhalte aufzeichnen können, können Kriminelle theoretisch die gleichen Methoden nutzen, um mittels manipulierter Anwendungen an sensible Daten zu gelangen.

Wie sich Nutzer effektiv davor schützen können, dass ihr Verhalten am Bildschirm aufgezeichnet wird, verraten die Forscher nicht. Auch schließen sie nicht aus, dass manche Apps ihre Nutzer heimlich belauschen, auch wenn sie dafür keine Beweise finden konnten. Das Problem seien aber nicht nur heimliche Aufnahmen von Bildschirm, Kamera und Mikrofon, betont David Choffnes, einer der beteiligten Wissenschaftler: "Die Menschen scheinen nicht zu begreifen, dass es im Alltag noch eine ganze Reihe anderer Tracking-Methoden gibt, mit denen Unternehmen ein umfassendes Bild eines Nutzers bekommen können."

Quelle: n-tv.de