Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

Von diesen Apps und Tools solltet ihr die Finger lassen – passt auf eure Daten auf

Passt auf eure Daten auf und vertraut nicht jeder beliebigen App. (Bild: Shutterstock/I AM NIKOM)

Immer wieder werden Fälle von Spionage-Tools öffentlich. Dabei müssen Nutzer den Smartphone-Apps und Browser-Erweiterungen immer selbst die Berechtigung zur Spionage einräumen. So kannst du mögliche Schädlinge identifizieren:

Eine App ist mit wenigen Klicks installiert. Dann schnell noch alle Berechtigungen akzeptieren und schon kann sie genutzt werden. Doch Vorsicht: Hinter vermeintlich harmlosen Apps, Browser-Erweiterungen und Tools stecken manchmal Berechtigungen, die jeden stutzig machen sollten. Nutzer gehen häufig zu leichtsinnig mit den abgefragten Rechten um. Dabei können Übeltäter leicht identifiziert werden.

Wer auf seinem Smartphone eine App oder bei Chrome und Firefox eine Erweiterung installiert, sollte eins bedenken: diese Tools haben nicht selten Zugang zu einem Teil eurer persönlichen Daten. Bei den meisten Anwendungen werden die Daten lediglich für die Funktion der App verwendet. Andere wiederum fragen nach Rechten, die für die eigentlichen Features des Tools überflüssig sein müssten.

Diese Tools wollen mehr als nötig

Chrome, Android und Co. fragen immer explizit nach diesen Berechtigungen. Doch viele Nutzer akzeptieren diese genauso schnell wie die Geschäftsbedingungen beim Einkauf in einem Onlineshop. Die Giphy-Erweiterung beispielsweise fragt bei der Installation nach der Berechtigung den Browserverlauf mitlesen zu dürfen. Dabei ist die beliebte Gif-Erweiterung lediglich dafür da, die Giphy-Bibliothek nach den animierten Bildchen zu durchsuchen. Ob eine Notwendigkeit besteht, den persönlichen Verlauf mitzulesen, ist wohl sehr zweifelhaft.

In den Giphy-Berechtigungen taucht das Mitlesen des Verlaufs auf. (Screenshot: t3n.de)
In den Giphy-Berechtigungen taucht das Mitlesen des Verlaufs auf. (Screenshot: t3n.de)

Ein weiterer kürzlich bekannt gewordener Fall betrifft die Browser-Erweiterung Stylish. Das Tool ermöglicht das Erstellen und Installieren von benutzerdefinierten Designs für Internetseiten. Einfordern tut Stylish folgende Berechtigung: „Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern.“ Hinter dieser Berechtigung verbergen sich eine Vielzahl von weiteren Rechten – darunter auch das Lesen des Verlaufs. Wie der Blogger und Softwareentwickler Robert Heaton jetzt herausgefunden hat, nutzt Stylish dies auch aus. Similarweb, das Unternehmen hinter der Erweiterung, begründet dies wie folgt: „Damit du die von Stylish angebotenen Dienste nutzen kannst – dir die passenden und vorgeschlagenen Designs für jede Webseite, die du aufrufst zeigen, sowie diese installieren zu können – müssen wir deine Browsingdaten speichern.“

Heaton hat jedoch die von Stylish geschickten „anonymisierten Daten“ näher unter die Lupe genommen. Demnach schicke das Unternehmen, neben der besuchten Website, auch die exakten URL der besuchten Seiten. Diese wären für den von Stylish angebotenen Dienst jedoch nicht nötig. Die Anwendung wurde inzwischen von Google und Firefox aus ihren Stores entfernt, berichtet ZDNet.

Wie findest du heraus, ob eine Erweiterung gefährlich ist?

Bei der Installation fragt Chrome immer nach, ob ihr die geforderten Berechtigungen zulassen wollt. Die Berechtigung „Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern“ ist sehr allgemein gefasst und gibt dir keine genauen Informationen darüber, was die App nun macht und was nicht. Google ordnet diese Berechtigung auch der „mittlere Warnstufe“ zu. Vertraust du dem Publisher nicht, solltest du das Tool mit Vorsicht genießen. Seriöse Entwickler fragen nur nach genau den Berechtigungen, die sie benötigen. Explizite Berechtigungen wie das Lesen des Browserverlaufs oder des aktuellen Standorts solltest du nur zulassen, wenn die Erweiterung diese auch offensichtlich benötigt.

Momentum fordert auf den ersten Blick viele Berechtigungen an. Diese sind jedoch sehr explizit und werden auch alle benötigt. (Screenshot: t3n.de)
Momentum fordert auf den ersten Blick viele Berechtigungen an. Diese sind jedoch sehr explizit und werden auch alle benötigt. (Screenshot: t3n.de)

Die Erweiterung Momentum ist ein gutes Beispiel für eine seriöse Berechtigungs-Politik. Auf den ersten Blick scheinen die Rechte viel komplexer, als bei Stylish. Jedoch sind sie sehr explizit und werden alle tatsächlich benötigt. Die App zeigt beim Öffnen eines neuen Tabs ein Dashboard mit To-do-Liste, Lesezeichen und aktuellen Wetterdaten an. Dementsprechend werden Standort-Daten oder die Wetterinformationen der Yahoo-API benötigt.

Das Momentum-Dashboard. (Screenshot: t3n.de)
Das Momentum-Dashboard. (Screenshot: t3n.de)

Warum dein Verlauf nicht anonym ist

Die Liste deines Browserverlaufs ist nicht anonym. Unabhängig davon, ob er im Zusammenhang mit deinem Namen oder deiner IP-Adresse gespeichert wird. Warum? Ganz einfach: Wie anonym wird diese URL wohl sein: www.linkedin.com/in/andreas-domin/edit/. Richtig, gar nicht! So kann dein Verlauf sehr schnell mit dir in Zusammenhang gebracht werden. Außerdem übermitteln einige Websites Daten mithilfe von Tokens in der URL. Der Link könnte entsprechend so aussehen: www.beispiellink.de/index.php?auth=loremipsum. Derartige Tokens könnte Dritten Zugang zu nicht gewünschten Bereichen ermöglichen.

Smartphone-Apps – auch hier solltet ihr aufpassen

Auch manche Smartphone-Apps verlangen mehr als sie tatsächlich benötigen sollten. In neueren Android-Versionen und bei iOS kann der Nutzer einzelne Berechtigungen für eine App zulassen oder sperren. Aber auch hier muss wieder differenziert werden: So benötigt Whatsapp beispielsweise Zugriff auf das Mikrofon für Sprachnachrichten und Telefonate.

Die geforderten Rechte des Android-Spiels Helix Jump sind mehr als zweifelhaft. (Screenshot: t3n.de)
Die geforderten Rechte des Android-Spiels Helix Jump sind mehr als zweifelhaft. (Screenshot: t3n.de)

Hingegen sollte ein einfaches Minispiel, wie das Android- und iOS-Game Helix Jump, keine Rechte für den Standort oder das Telefon benötigen. Deutlich wird dies, wenn ihr die Berechtigungen unterdrückt und die App trotzdem im vollen Funktionsumfang reibungslos funktioniert. Spätestens dann solltet ihr den Entwicklern nicht mehr vertrauen und die App vorsichtshalber deinstallieren.

Weiterführender Ratgeber: Das bedeuten App-Berechtigungen und dann solltet ihr sie blockieren

Auch wenn dies noch lange kein Beweis dafür ist, dass die App gefährlich ist oder euch ausspioniert, so lässt es dennoch die Seriosität der Entwickler anzweifeln.

Ihr entscheidet selbst, welche Rechte ihr einräumt

Unter Android könnt ihr die Berechtigungen bereits vor der Installation im Play-Store einsehen. Weiter unten findet ihr den Button „Berechtigungsdetails“. Dieser öffnet ein Pop-up mit einer Liste von allen geforderten Rechten. Bei besonderen Berechtigungen muss die App nach dem Starten erneut explizit nachfragen. Ähnlich ist das auch bei den iOS-Apps. Hier könnt ihr jedoch die Berechtigungen vorab nicht im App-Store einsehen.

Die oben beschriebenen Beispiele soll vor allem eins zeigen: Installiert nicht leichtsinnig irgendeine App oder Browser-Erweiterung. Es gibt noch viel mehr unsichere Tools in den Stores, die fleißig Daten für zweifelhafte Zwecke sammeln. Jedoch müssen die Apps bei Firefox, Chrome und eurem Smartphone immer die Rechte einholen. Wer also nicht will, dass seine persönlichen Daten missbraucht werden, sollte genauer darauf achten, wem er Zugriff darauf gibt.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

3 Reaktionen
Sertan

Ja, gute Beispiele. Aber, und hier ist das problem, jeder der Android an und für sich benutzt gibt schon mehr von sich preis, als er möchte. Android verlangt für zich Funktionen das hochladen deines Fingerabdruckprofils. Das allein ist eine unglaubliche Frechheit. Und ich rede hier von dem Betriebssystem unter welchem alle anderen Apps hier laufen. Die relevanz von maroden Apps ist relativ gering wenn das Fundament verrottet ist, meines erachten nachs.

Antworten
Benutzer

Das Problem ist nicht nur eine App mittlerweile. Es werden zumindest im PlayStore Originalapps mit Coverbild & Funktionsinhalt kopiert und man weiß gar nicht mehr welche nun das Original ist.

Es ist dabei aber nicht mit einem Ban aus dem Store getan sondern muss auch strafrechtlich zur Anzeige gebracht und geahndet werden. Und auch nicht zu Mild oder nur mit Geldbuße.

Bei einem angezeigten Hetzkommentar oder gleichen wird ja auch bei der Hausdurchsuchung gleich jegliches Internetinventar mitgenommen. Gilt das auch für die App Entwickler?

Antworten
Marvin

Ein eindrucksvolles Negativ-Beispiel liefert "Clean Master" für Android ab:
https://mobilsicher.de/apps/app-test-clean-master-boost-antivirus

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.