Von diesen Apps und Tools solltet ihr die Finger lassen – passt auf eure Daten auf
Eine App ist mit wenigen Klicks installiert. Dann schnell noch alle Berechtigungen akzeptieren und schon kann sie genutzt werden. Doch Vorsicht: Hinter vermeintlich harmlosen Apps, Browser-Erweiterungen und Tools stecken manchmal Berechtigungen, die jeden stutzig machen sollten. Nutzer gehen häufig zu leichtsinnig mit den abgefragten Rechten um. Dabei können Übeltäter leicht identifiziert werden.
Wer auf seinem Smartphone eine App oder bei Chrome und Firefox eine Erweiterung installiert, sollte eins bedenken: diese Tools haben nicht selten Zugang zu einem Teil eurer persönlichen Daten. Bei den meisten Anwendungen werden die Daten lediglich für die Funktion der App verwendet. Andere wiederum fragen nach Rechten, die für die eigentlichen Features des Tools überflüssig sein müssten.
Diese Tools wollen mehr als nötig
Chrome, Android und Co. fragen immer explizit nach diesen Berechtigungen. Doch viele Nutzer akzeptieren diese genauso schnell wie die Geschäftsbedingungen beim Einkauf in einem Onlineshop. Die Giphy-Erweiterung beispielsweise fragt bei der Installation nach der Berechtigung den Browserverlauf mitlesen zu dürfen. Dabei ist die beliebte Gif-Erweiterung lediglich dafür da, die Giphy-Bibliothek nach den animierten Bildchen zu durchsuchen. Ob eine Notwendigkeit besteht, den persönlichen Verlauf mitzulesen, ist wohl sehr zweifelhaft.
Ein weiterer kürzlich bekannt gewordener Fall betrifft die Browser-Erweiterung Stylish. Das Tool ermöglicht das Erstellen und Installieren von benutzerdefinierten Designs für Internetseiten. Einfordern tut Stylish folgende Berechtigung: „Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern.“ Hinter dieser Berechtigung verbergen sich eine Vielzahl von weiteren Rechten – darunter auch das Lesen des Verlaufs. Wie der Blogger und Softwareentwickler Robert Heaton jetzt herausgefunden hat, nutzt Stylish dies auch aus. Similarweb, das Unternehmen hinter der Erweiterung, begründet dies wie folgt: „Damit du die von Stylish angebotenen Dienste nutzen kannst – dir die passenden und vorgeschlagenen Designs für jede Webseite, die du aufrufst zeigen, sowie diese installieren zu können – müssen wir deine Browsingdaten speichern.“
Heaton hat jedoch die von Stylish geschickten „anonymisierten Daten“ näher unter die Lupe genommen. Demnach schicke das Unternehmen, neben der besuchten Website, auch die exakten URL der besuchten Seiten. Diese wären für den von Stylish angebotenen Dienst jedoch nicht nötig. Die Anwendung wurde inzwischen von Google und Firefox aus ihren Stores entfernt, berichtet ZDNet.
Wie findest du heraus, ob eine Erweiterung gefährlich ist?
Bei der Installation fragt Chrome immer nach, ob ihr die geforderten Berechtigungen zulassen wollt. Die Berechtigung „Alle Ihre Daten auf von Ihnen besuchten Websites lesen und ändern“ ist sehr allgemein gefasst und gibt dir keine genauen Informationen darüber, was die App nun macht und was nicht. Google ordnet diese Berechtigung auch der „mittlere Warnstufe“ zu. Vertraust du dem Publisher nicht, solltest du das Tool mit Vorsicht genießen. Seriöse Entwickler fragen nur nach genau den Berechtigungen, die sie benötigen. Explizite Berechtigungen wie das Lesen des Browserverlaufs oder des aktuellen Standorts solltest du nur zulassen, wenn die Erweiterung diese auch offensichtlich benötigt.
Die Erweiterung Momentum ist ein gutes Beispiel für eine seriöse Berechtigungs-Politik. Auf den ersten Blick scheinen die Rechte viel komplexer, als bei Stylish. Jedoch sind sie sehr explizit und werden alle tatsächlich benötigt. Die App zeigt beim Öffnen eines neuen Tabs ein Dashboard mit To-do-Liste, Lesezeichen und aktuellen Wetterdaten an. Dementsprechend werden Standort-Daten oder die Wetterinformationen der Yahoo-API benötigt.
Warum dein Verlauf nicht anonym ist
Die Liste deines Browserverlaufs ist nicht anonym. Unabhängig davon, ob er im Zusammenhang mit deinem Namen oder deiner IP-Adresse gespeichert wird. Warum? Ganz einfach: Wie anonym wird diese URL wohl sein: www.linkedin.com/in/andreas-domin/edit/. Richtig, gar nicht! So kann dein Verlauf sehr schnell mit dir in Zusammenhang gebracht werden. Außerdem übermitteln einige Websites Daten mithilfe von Tokens in der URL. Der Link könnte entsprechend so aussehen: www.beispiellink.de/index.php?auth=loremipsum. Derartige Tokens könnte Dritten Zugang zu nicht gewünschten Bereichen ermöglichen.
Smartphone-Apps – auch hier solltet ihr aufpassen
Auch manche Smartphone-Apps verlangen mehr als sie tatsächlich benötigen sollten. In neueren Android-Versionen und bei iOS kann der Nutzer einzelne Berechtigungen für eine App zulassen oder sperren. Aber auch hier muss wieder differenziert werden: So benötigt Whatsapp beispielsweise Zugriff auf das Mikrofon für Sprachnachrichten und Telefonate.
Hingegen sollte ein einfaches Minispiel, wie das Android- und iOS-Game Helix Jump, keine Rechte für den Standort oder das Telefon benötigen. Deutlich wird dies, wenn ihr die Berechtigungen unterdrückt und die App trotzdem im vollen Funktionsumfang reibungslos funktioniert. Spätestens dann solltet ihr den Entwicklern nicht mehr vertrauen und die App vorsichtshalber deinstallieren.
Weiterführender Ratgeber: Das bedeuten App-Berechtigungen und dann solltet ihr sie blockieren
Auch wenn dies noch lange kein Beweis dafür ist, dass die App gefährlich ist oder euch ausspioniert, so lässt es dennoch die Seriosität der Entwickler anzweifeln.
Ihr entscheidet selbst, welche Rechte ihr einräumt
Unter Android könnt ihr die Berechtigungen bereits vor der Installation im Play-Store einsehen. Weiter unten findet ihr den Button „Berechtigungsdetails“. Dieser öffnet ein Pop-up mit einer Liste von allen geforderten Rechten. Bei besonderen Berechtigungen muss die App nach dem Starten erneut explizit nachfragen. Ähnlich ist das auch bei den iOS-Apps. Hier könnt ihr jedoch die Berechtigungen vorab nicht im App-Store einsehen.
Die oben beschriebenen Beispiele soll vor allem eins zeigen: Installiert nicht leichtsinnig irgendeine App oder Browser-Erweiterung. Es gibt noch viel mehr unsichere Tools in den Stores, die fleißig Daten für zweifelhafte Zwecke sammeln. Jedoch müssen die Apps bei Firefox, Chrome und eurem Smartphone immer die Rechte einholen. Wer also nicht will, dass seine persönlichen Daten missbraucht werden, sollte genauer darauf achten, wem er Zugriff darauf gibt.
Ein eindrucksvolles Negativ-Beispiel liefert „Clean Master“ für Android ab:
https://mobilsicher.de/apps/app-test-clean-master-boost-antivirus
Das Problem ist nicht nur eine App mittlerweile. Es werden zumindest im PlayStore Originalapps mit Coverbild & Funktionsinhalt kopiert und man weiß gar nicht mehr welche nun das Original ist.
Es ist dabei aber nicht mit einem Ban aus dem Store getan sondern muss auch strafrechtlich zur Anzeige gebracht und geahndet werden. Und auch nicht zu Mild oder nur mit Geldbuße.
Bei einem angezeigten Hetzkommentar oder gleichen wird ja auch bei der Hausdurchsuchung gleich jegliches Internetinventar mitgenommen. Gilt das auch für die App Entwickler?
Ja, gute Beispiele. Aber, und hier ist das problem, jeder der Android an und für sich benutzt gibt schon mehr von sich preis, als er möchte. Android verlangt für zich Funktionen das hochladen deines Fingerabdruckprofils. Das allein ist eine unglaubliche Frechheit. Und ich rede hier von dem Betriebssystem unter welchem alle anderen Apps hier laufen. Die relevanz von maroden Apps ist relativ gering wenn das Fundament verrottet ist, meines erachten nachs.