Studie: Handy-Apps zeigen private Daten mehr als nötig an

Handy-Apps greifen auf private Daten von Nutzern zu und übertragen sie weit mehr an entfernte Server Dies erscheint einer neuen Studie zweier französischer Regierungsbehörden zufolge

Die französische nationale Kommission für Informatik und Freiheit (CNIL) untersuchte das Verhalten von 189 Apps auf sechs iPhones, die mit Überwachungssoftware und Analysetools ausgestattet sind, die vom französischen Nationalen Institut für Forschung in Informatik und Kontrolle (INRIA) entwickelt wurden. Das Ziel sei, das allgemeine Verständnis für die Art und Weise zu verbessern, wie Apps private Daten nutzen, und nicht auf bestimmte Entwickler zu zeigen, sagte CNIL-Präsidentin Isabelle Falque-Pierrotin am Dienstag auf einer Pressekonferenz, um die Forschung zu präsentieren Die CNIL nahm einen realen Ansatz vor und forderte sechs Freiwillige auf, ihre eigenen SIM-Karten zwischen Mitte Oktober und Mitte Januar in die Telefone zu legen und sie wie von selbst zu nutzen. Ein Freiwilliger lud fast 100 Apps herunter, und einer fügte nur fünf zu den von Apple installierten hinzu.

[Lesen Sie weiter: Die besten Android-Telefone für jedes Budget.]

Eine von 12 Apps hat auf das Adressbuch zugegriffen und fast jeder Dritte hat auf die Standortinformationen zugegriffen. Im Durchschnitt wurden die Benutzer während des Studiums 76 Mal am Tag verfolgt. Foursquare und Apples eigene Google Maps-App verlangten am häufigsten Standortinformationen - möglicherweise aufgrund ihres Zwecks verständlich - mit AroundMe und Apples Camera-App.

Der Name des iPhones wurde von sechs Apps aufgerufen, was die Forscher als unerklärlich empfanden fast keinen Zweck und ist weit entfernt von einer eindeutigen Kennung, obwohl, da es oft den Vornamen des Benutzers enthält, könnte es sich um persönlich identifizierbare Informationen.

Facebook App anscheinend wenig unternommen, um Zugang zu solchen privaten Informationen - aber dann, sagten die Forscher, es hat keine Notwendigkeit, wie seine Benutzer sowieso schon so viel sagen.

Forscher von zwei französischen Regierungsbehörden, CNIL und INRIA, wollen Nutzern von Apples iOS zusätzliche Kontrolle darüber geben, wie Apps auf ihre privaten Informationen zugreifen können Überprüfen und ändern Sie diesen Zugriff jederzeit.

Die Daten, auf die am häufigsten in der Studie zugegriffen wurde, waren die Universal Device Identifier (UDID) des iPhone, eine fortlaufende Seriennummer verbunden mit einem bestimmten Telefon. Fast die Hälfte der Apps hat darauf zugegriffen, und jeder Dritte hat es unverschlüsselt über das Internet gesendet. Die App einer Tageszeitung hat während der Studie 1.989 Mal auf die UDID zugegriffen und sie 614 Mal an ihren Herausgeber gesendet.

CNIL-Sprecher Stéphane Petitcolas demonstrierte, wie Benutzer mit einem neuen Setting-Tool die Kontrolle über alle Arten von privaten Apps zurückerlangen können Informationen, so wie Apple es Benutzern ermöglicht, den Zugriff auf Standortinformationen bereits heute zu kontrollieren. Apple hat das Tool noch nicht gesehen, aber INRIA würde erwägen, den Code zu teilen, wenn das Unternehmen interessiert wäre, sagte Claude Castelluccia, Direktor des Forschungsteams.

Käufer von iPhone-Apps haben keine Ahnung, auf welche Informationen oder Funktionen ihre Apps zugreifen. Der Google Play Store zeigt an, auf welche Informationen und Funktionen eine App zugreift - aber die Wahl ist alles oder nichts. Ältere Versionen des BlackBerry OS gaben den Benutzern mehr Freiheit bei der Auswahl der APIs (Anwendungsprogrammierschnittstellen), auf die sie eine App zugreifen können. Auf diese Weise besteht die Gefahr, dass die App beschädigt wird. In BlackBerry 10 ist diese granulare Kontrolle jedoch nur für native Apps verfügbar Android Apps die Wahl ist es noch einmal zu nehmen oder es zu lassen.

Apple macht kleine Schritte in Richtung Benutzer diese Art der Kontrolle zu geben. In iOS 5 konnten sie verhindern, dass einzelne Apps auf ihren Standort zugreifen, und in iOS 6 haben sie eine andere Option, da Apple versucht, Entwickler davon abzuhalten, die UDID zu verwenden, um Benutzer und Zielwerbung zu identifizieren.

Stattdessen möchte Apple, dass Entwickler den in iOS 6 eingeführten Advertising Identifier verwenden. Dieser ist nicht permanent mit einem Telefon oder einer Person verknüpft, und Nutzer, die nicht verfolgt werden möchten, können dies jederzeit ändern, solange sie es möchten schauen Sie in Einstellungen / Allgemein / About / Advertising und nicht in den offensichtlichen Einstellungen / Datenschutz.

Diese Option war den Teilnehmern der CNIL-INRIA-Studie jedoch nicht zugänglich, die aus technischen Gründen mit iOS 5 durchgeführt wurde Die nächste Phase der Forschung wird iOS 6 verwenden, nachdem INRIA seine Überwachungs-App auf die neue Version umgestellt hat.

Um zu sehen, wie die Apps auf private Informationen zugreifen, musste INRIA die iPhones jailbreaken und eine spezielle App installieren, um den Apple abzufangen APIs, über die Apps Zugang zu privaten Informationen anfordern, sagte INRIA-Forscher Vincent Roca. Die Forscher entschieden sich für iPhones, weil sie bereits Erfahrung mit iOS hatten. Sie entwickeln jetzt eine App mit ähnlichen Funktionen für Android-Telefone, die sie rooten müssen, um sie zu installieren.

Die Überwachungs-App von INRIA hat jede abgefangene Anfrage in einer Datenbank auf dem Telefon zusammen mit den angeforderten privaten Informationen aufgezeichnet Es könnte es im ausgehenden Netzwerkverkehr identifizieren. Die iOS 5-App konnte nur unverschlüsselten Netzwerkverkehr überwachen, aber die Version für iOS 6 kann jetzt die Netzwerk-APIs haken, bevor der Datenverkehr verschlüsselt wird.

Die App leitete auch abgefangene Anfragen an einen zentralen Server für die Studie weiter Die damit verbundenen privaten Informationen, wie auch experimentelle Themen haben Anspruch auf ihre Privatsphäre, betont die Forscher.

INRIA und CNIL sind gerade dabei, die Daten von den sechs iPhones zu analysieren: Es gibt 9 Gigabyte davon, 7 Millionen Privatsphäre Ereignisse über den Zeitraum von drei Monaten.

Eine Sache, die die Studie bereits gezeigt hat, ist, dass ein gewisser Zugriff auf private Daten zufällig ist. Eine App, um das nächstgelegene Pariser Schwimmbad zu identifizieren (die Stadt hat 38 in einem Umkreis von etwa 5 Kilometern), hat aufgrund eines Programmierfehlers deutlich mehr als nötig auf die Standortinformationen zugegriffen, offenbar wegen eines Programmierfehlers, sagten die Petitcolas von CNIL.