New YorkApple reagiert auf Kritik am heimlichen Kopieren von iPhone-Adressbüchern durch mindestens eine populäre App und spricht ein Machtwort: Künftig wird der Zugriff auf Kontaktlisten nur mit ausdrücklicher Zustimmung eines Nutzers möglich sein. „Apps, die Kontaktdaten von Nutzern ohne deren vorherige Zustimmung sammeln oder übertragen, verletzen unsere Richtlinien“, sagte ein Apple-Sprecher dem Online-Dienst CNET und dem „Wall Street Journal“-Blog „All Things Digital“ am Mittwoch.
Das Online-Netzwerk Path war vor kurzem dabei erwischt worden, dass seine iPhone-App heimlich gesamte Adressbücher auf Server des Unternehmens hochlud. Path rechtfertigte sich damit, dass auf diese Weise die Suche nach Bekannten eines jeden Nutzers bei dem Netzwerk erleichtert werde. Nach einem Aufschrei in der Fachpresse entschuldigte sich Path und holt dafür jetzt eine Zustimmung ein.
Nach der Enthüllung untersuchten Experten mit Hilfe spezieller Programme die ausgehenden Datenströme bei anderen Diensten. Dabei entdecken sie weitere Apps, die in großem Stil auf Adressbücher zuzugreifen und sie zum Teil sogar wie Path auf ihre Server zu kopieren scheinen - ohne dass es für den Nutzer ersichtlich ist. Es sind meist Social-Media-Dienste, die tatsächlich solche Daten brauchen, damit man seine Bekannten bei ihnen finden kann. Allerdings wüssten auch die Nutzer gerne, wenn ihre gesamten Kontaktlisten irgendwo im Netz lagern, wenn auch verschlüsselt und sicher, wie die Anbieter versichern.
Die Gefahren
Je mehr Aufgaben das Smartphone in unserem Leben übernimmt, umso größer das Schädigungspotenzial im Missbrauchsfall. Inzwischen stellt das Smartphone mit seinen zahlreichen Apps, dem Zugriff auf private E-Mails, dem Facebook-Profil und gespeicherten Login-Daten auf Websites eine Art Schlüssel zum Leben des Benutzers dar. Erhalten Cyber-Kriminelle Zugriff auf das Gerät, werden ihnen tiefe Einblicke in die Privatsphäre gewährt. Und noch schlimmer: Gefundene Informationen können für finanziellen Betrug genutzt werden.
Grundsätzlich gibt es zwei mögliche Bedrohungsszenarien für die mobilen Telefone: Der direkte Zugriff auf die Hardware durch Verlusts des Geräts – oder das Eindringen von Cyberkriminellen über das Internet.
Zugriffsschutz aktivieren
Das wichtigste, sollte das Smartphone verloren gehen, ist ein aktivierter Zugriffsschutz - das ist der Basis-Schutz für jedes Smartphone. Bei Android wird ab Version 2.2 eine Passphrase zum Schutz vor unbefugten Zugriffen angeboten – also ein Passwort, das auch länger als ein Wort sein kann. Das iPhone ermöglicht die Aktivierung eines vierstelligen Codes oder ab iOS 4 alternativ ebenfalls eine Passphrase.
Beim iPhone lässt sich sogar einstellen, dass die Daten gelöscht werden, sollte zehn Mal hintereinander die falsche Passphrase eingegeben werden. Wer diese Funktion aktiviert, sollte auf sein Backup auf dem heimischen PC oder in der iCloud vertrauen.
Fernlöschung und Suche
Wer nicht alleine auf die eingebaute Sperr-Funktion des Smartphones vertrauen will, kann zusätzlich im Fall der Fälle seine Daten auch ferngesteuert löschen, sollte das Telefon verloren gehen. Für Android gibt es dazu beispielsweise die kostenlose App SmrtGuard. Von McAfee kann die Software WaveSecure kostenlos getestet werden. 1,39 Euro kostet WatchDroid Pro. Die App verspricht ein gestohlenes Telefon via GPS auch ausfindig machen zu können. Beim iPhone funktioniert dasselbe mit der seit iOS 5 kostenlosen App „iPhone finden“.
Android-Schnüffelsoftware finden
Nicht nur Cyberkriminelle haben es auf persönliche Daten abgesehen – auch die Statistik-Software Carrier IQ kam ins Gerede. Ein Android-Entwickler entdeckte höchst fragwürdige Funktionen der Statistik-Software, die eigentlich Mobilfunkprovidern helfen soll, Probleme festzustellen. Offenbar fängt das Programm die Nutzereingaben über die Tastatur ab – was mit diesen passiert, ist allerdings unklar.
Die Software ist weltweit auf über 141 Millionen Geräten installiert, betrifft alle Hersteller und Smartphone-Systeme. Auch auf einzelnen deutschen Android-Geräten wurde die Software gefunden. Die kostenlose App Voodoo Carrier IQ detector im Android Market verspricht, Carrier IQ aufzuspüren. Der Anbieter empfiehlt, sich beim Telekomprovider zu beschweren, sollte das Programm fündig werden – denn entfernen kann die App die Schnüffelsoftware nicht.
Zweifelhafte Apps aufspüren
Laufen im Hintergrund unerwünschte Programme? Einen ersten Aufschluss über alle laufenden Anwendungen liefern Apps, die als Prozessmonitor dienen – ähnlich dem Task Manager unter Windows. Diese können einzelne unerwünschte Anwendungen auch manuell beenden.
Unter den Bordmitteln findet sich ein solches Tool nicht – eine Apps muss her. Unter Android kann dafür der kostenlose Open Advanced Task Killer im Android Market heruntergeladen werden. Auf dem iPhone übernimmt dieselbe Aufgabe die App SysStats Monitor für 79 Cent. Die genannten Programme ersetzen aber keine Anti-Viren-Lösung – gut programmierte Schadsoftware verbirgt die eigene Aktivität für Prozessmonitore. Sind Sie unsicher, ob es sich um einen legitimen Prozess oder eine Schadsoftware handelt, hilft eine kurze Google-Recherche bezüglich des Namens des Prozesses oft weiter.
Wer will was wissen?
Besonders interessiert an den Daten von Smartphone-Nutzern zeigen sich auch Werbenetzwerke, denen der Nutzer oft zusammen mit kostenlosen, aber werbefinanzierten Programmen den Zugriff auf sein Smartphone gewährt. Die kostenlose App „Ad Network Detector“ der Sicherheitsfirma Lookout will Android-Nutzer nun darüber informieren, welche Anzeigennetzwerke auf ihrem Gerät sind und welche Informationen sie sammeln.
Das Programm überprüft den Angaben zufolge alle Apps auf dem Smartphone auf ihre Zugehörigkeit zu 35 großen Anzeigennetzwerken. Der Ad Network Detector zeigt dann, welche persönlichen Daten für Werbezwecke gesammelt und ob sie sicher übermitteln werden. Damit könnten die Nutzer „eine fundierte Entscheidung darüber treffen, ob und in welchen Fällen sie Werbung als Ausgleich für die kostenlose App akzeptieren wollen oder nicht“, so Lookout.
Augen auf bei Anti-Viren-Lösungen!
Android ist die mit Abstand populärste Smartphone-Plattform – auch für Cyber-Kriminelle. So ist Android derzeit die einzige Plattform, auf der Schadsoftware eine nennenswerte Rolle spielt. Die Zahl der Schadsoftware für Android wächst derzeit rasant. Daher buhlen eine ganze Reihe von kostenlosen und kostenpflichtigen Anti-Viren-Lösungen um die Gunst der Nutzer – doch viele von ihnen halten nicht, was sie versprechen.
Eine im März 2012 durchgeführte Analyse des IT-Sicherheitsinstituts AV-Test untersuchte ganz 41 Anti-Viren-Lösungen für Android – und kam zu einem ernüchternden Ergebnis. Rund zwei Drittel der getesteten Lösungen erkannte weniger als 65 Prozent der 618 Schädlinge, mit denen die Tester die Software fütterten. Sechs Software-Lösungen erkannten sogar keinen einzigen Schädling. Unter den getesteten Lösungen gab es aber auch empfehlenswerte Software, die mehr als 90 Prozent der Schadsoftware erkannten.
Folgende Anti-Viren-Lösungen können dem Test zufolge uneingeschränkt empfohlen werden: Avast Mobile Security, Dr. Web Anti-Virus Light, F-Secure Mobile Security, Ikarus Mobile Security Lite, Lookout Security & Antivirus, Kaspersky Mobile Security (Lite), Zoner Antivirus Free.
Gefahrenquellen meiden
Fast alle Schadprogramme auf der Android-Plattform finden als kostenloses Programm aus zweifelhafter Quelle ihren Weg auf die Smartphones. Meiden Sie in jedem Fall Filesharing-Börsen – einige der kostenlosen Downloads kommerzieller Programme sind in Wirklichkeit Trojanische Pferde, die die Kontrolle des Smartphones übernehmen.
Weitere Verbreitungswege sind E-Mails, SMS und MMS, in denen der Nutzer zum Download von Apps aus zweifelhaften Quellen aufgefordert wird. Fast immer muss die Schadsoftware dabei manuell vom Anwender installiert werden. Wer Apps aus unsicheren Quellen also meidet, ist derzeit schon vor Malware gefeit. Auf dem iPhone spielt Malware derzeit kaum eine Rolle. Hier kommt Apple-Anwendern zugute, dass für sie ohne spezielle Programme, die einen „Jailbreak“ ermöglichen, kein Weg an Apples offiziellen App Store vorbeiführt.
USB-Debug-Modus deaktivieren
Der USB-Debug-Modus bei Android-Smartphones unter dem Menüpunkt „Entwicklung“ ist für Android-Entwickler gedacht, die mit aktivierten Debugging mehr Informationen über das Smartphone erhalten – normale Anwender benötigen die Option nicht. Dafür kann sie Angreifern, die den Zugriffsschutz über den direkten Zugriff auf das Smartphone als Festplatte aushebeln wollen, wertvolle Informationen liefern. Um dieses Sicherheitsrisiko auszuschließen, sollte die Option deaktiviert werden.
Spyware-Apps
Nicht nur Cyber-Kriminelle haben es auf Ihren Daten abgesehen. Auch Marktforscher sind zumindest an Daten wie Alter, Geschlecht und Nutzungsverhalten interessiert. Generell gilt: Im Leben gibt es nichts umsonst – und auch die Hersteller der Gratis-Apps wollen verdienen. Das tun sie häufig nicht nur über die eingeblendete Werbung, sondern auch, indem sie an die Werbetreibenden Informationen senden. Im Dezember 2010 testete das „Wall Street Journal“ zahlreiche Gratisangebote für Android und iPhone.
Insgesamt stellten sich von den 101 untersuchten beliebten Mini-Programmen für 56 als kleine Spione heraus, weil sie die Geräte-ID an Dritte sendeten, ohne dafür die Erlaubnis des Nutzers einzuholen. 74 Apps sendeten den Ort des Geräts. Fünf Softwarehersteller waren besonders wissbegierig und ließen sich gleich noch Informationen zu persönlichen Daten wie Alter oder Geschlecht schicken. iPhone-Apps fielen bei dem Test als besonders gefährlich für die Privatsphäre auf, Programm auf Googles Android-Plattform sind laut „Wall Street Journal“ generell weniger aufdringlich. Allerdings gibt die Zeitung zu bedenken, dass die 101 ausgewählten Apps keine repräsentativen Schlüsse auf alle Angebote zulassen.
Überlegen Sie sich vor der Installation einer App grundsätzlich, ob sie sie wirklich brauchen. Nutzen Sie außerdem in den Einstellungen des Smartphones die Möglichkeit, festzulegen, welche App auf welche Funktionen des Smartphones zugreifen darf.
Die Gefahren
Je mehr Aufgaben das Smartphone in unserem Leben übernimmt, umso größer das Schädigungspotenzial im Missbrauchsfall. Inzwischen stellt das Smartphone mit seinen zahlreichen Apps, dem Zugriff auf private E-Mails, dem Facebook-Profil und gespeicherten Login-Daten auf Websites eine Art Schlüssel zum Leben des Benutzers dar. Erhalten Cyber-Kriminelle Zugriff auf das Gerät, werden ihnen tiefe Einblicke in die Privatsphäre gewährt. Und noch schlimmer: Gefundene Informationen können für finanziellen Betrug genutzt werden.
Grundsätzlich gibt es zwei mögliche Bedrohungsszenarien für die mobilen Telefone: Der direkte Zugriff auf die Hardware durch Verlusts des Geräts – oder das Eindringen von Cyberkriminellen über das Internet.
Entsprechend wurde Kritik auch an Apple immer lauter, weil der Konzern den App-Entwickler keine technischen Schranken gesetzt habe. Schließlich sind viele Menschen betroffen: Path hatte Ende vergangenen Jahres rund 300.000 Nutzer - und das iOS-Betriebssystem, mit dem die iPhones und iPads sowie der iPod touch laufen, mehr als 200 Millionen.
In einer künftigen Version der Software werde - wie bereits bei Geoinformationen üblich - der Zugriff von Apps auf Kontaktlisten grundsätzlich nur mit Zustimmung des Nutzers möglich sein, sagte der Apple-Sprecher CNET. Wenige Stunden davor hatten auch US-Kongressabgeordnete von dem Unternehmen offiziell Aufklärung gefordert.
