Press Release - 11. March 2014

Dangerous Apps – nicht nur WhatsApp ist unsicher

Sie werden millionenfach genutzt – doch über die im Hintergrund abgefischten Daten weiß kaum ein Anwender Bescheid: „Dangerous Apps“ lautet deshalb der Titel, unter dem mediaTest digital im Rahmen den CeBIT2014 fünf der prominentesten Apps auf Sicherheitslücken überprüft hat. Das hannoversche Testinstitut hat dabei teilweise gravierende Sicherheitslücken der viel genutzten Anwendungen ausfindig gemacht:

1. Shazam (Version 7.4.1, iOS)

Die Musikerkennungssoftware ist auf vielen Smartphones installiert: Neben der Erkennung von Songs identifiziert die App unerlaubt aber auch die Geräte-IDs wie etwa die Seriennummer der Netzwerkkarte (IMEI) und die MAC-Adresse, das Nummernschild der Netzwerkkarte, und überträgt diese an Dritte. Dies ermöglicht Außenstehenden die Wiedererkennung der Anwender und vereinfacht das Nutzertracking. Zusätzlich macht die Übertragung der Daten Angreifern die Implementierung spezieller Schadsoftware möglich, die sich auf den identifizierten Geräten entfalten kann. Auch die Standortdaten des Anwenders werden von Shazam in hoher Frequenz verschlüsselt übertragen. Warum eine Musikerkennung allerdings Geodaten abfragt und überträgt, ist fraglich. Mit diesen können User zielgerichtet verfolgt und überwacht werden. Die Daten werden unverschlüsselt an Werbenetzwerke und weitere Empfänger gegeben. Die IDFA (Identifier for Advertisers), eine spezielle Identifikationsnummer aus iOS 6, mit der die Gewohnheiten von iPhone- und iPad-Nutzern beobachtet und ihnen passende Werbung serviert werden kann, wird ebenfalls übertragen.

2. Quizduell (Version 1.3.2, Android)

Seit dem Sommer vergangenen Jahres erfreut sich die Frage-und-Antwort-App steigender Beliebtheit: Allerdings werden neben den Antworten der Spieler auch sogenannte Hash-Werte, eine verschleierte Form der IMEI-Adresse und weitere eindeutige IDs unverschlüsselt an ein Werbe- Netzwerk übertragen. Benutzernamen werden ebenfalls unverschlüsselt übertragen. Mit diesen Daten kann ein genaues Profil des Spielers erstellt und dieser wiedererkannt und ausspioniert werden. Auch beim Quizduell ergibt sich also die bei Shazam beschriebene Tracking- und Profiling- Problematik.

3. Eurosport (Version 3.7.1, Android)

Sie gilt als die Referenz bei den Sport Apps und leistet doch mehr, als nur über Sportergebnisse zu berichten: Die Eurosport App überträgt den Benutzernamen und das Passwort des Anwenders unverschlüsselt. Außerdem werden die Android-ID, IMEI und WLAN MAC zwar verschlüsselt aber ohne Zustimmung des Nutzers an ein Werbenetzwerk übertragen. Die unverschlüsselte Weitergabe von Benutzernamen und Passwörtern stellt für viele App-User ein großes Problem dar. Nicht selten kommt es vor, dass Anwender dieselben Zugangsdaten für verschiedene Profile und Accounts im Internet verwenden. So kann ein Angreifer mit diesen Daten diverse Accounts der Nutzer übernehmen.

4. Hotel.de (Version 2.1, iOS)

Das Buchungsportal aus der Kategorie Reisen nutzt die ihm anvertrauten Daten gleich doppelt: Neben der Erstellung von vermeintlich günstigen Angeboten werden die gesamten Buchungsdetails unverschlüsselt übertragen. Die ungeschützte Übermittlung personenbezogener Daten stellt grundsätzlich ein Problem für die Nutzer dar: Datensammler und Angreifer können Nutzerprofile erstellen und diese für verschiedene Aktivitäten nutzen. Hinzu kommt der Fakt, dass eine solche Datenverarbeitung nicht konform mit dem Bundesdatenschutzgesetz (BDSG) ist.

5. The Wall Street Journal (Version 2.4.0, Android)

Die Nachrichten App, die selbst über die spektakulären Datenskandale von NSA und WhatsApp berichtet hat, nutzt die Daten ihrer Leser zur unverschlüsselten Weitergabe an ein Werbe-Netzwerk: Abgefischt werden hier die eindeutige Gerätekennung IMEI und die Android ID. Dadurch ergibt sich auch hier die bereits beschriebene Tracking- und Profiling-Problematik. Besonders fraglich ist dieses Verhalten, weil die eindeutige und unveränderbare IMEI-Adresse für Werbetracking-Zwecke nicht mehr benötigt wird. Google hat hierfür inzwischen die Android ID vorgesehen.

Die identifizierten Gefahren der fünf Beispiele bilden einen repräsentativen Querschnitt der öffentlich zugänglichen Apps aller vier großen Betriebssysteme iOS, Android, WindowsPhone und BlackBerry OS. Das Testinstitut mediaTest digital hat bis heute betriebssystemübergreifend mehr als 6.000 Apps und App-Versionen mit seinem multidimensionalen Analyseverfahren überprüft. Bei mehr als 50 Prozent der analysierten Apps stellt mediaTest digital aktuell Sicherheitslücken und Schadprofile fest.

Die detaillierten Prüfprotokolle der oben genannten Apps lassen wir Ihnen gern auf Anfrage zukommen. Alternativ bekommen Sie diese als Pressemappe am CeBIT-Messestand von mediaTest digital in Halle 6 (Stand K15/314). Wir freuen uns auf Ihren Besuch.

Download PDF

Contact

Our sales team will support you along the way towards a secure use of mobile applications in your enterprise. We will gladly offer personal and non-committal consultation.

I'm:

Reseller Customer

I'm interested in:

* Required
Close
Application Security Center

mediaTest digital

mediaTest digital is the European market leader for mobile security solutions with regard to Enterprise Mobility and Mobile Application Management. Founded in 2012, the Hanover-based company is today securing more than 1,500,000 mobile devices for business clients like Lufthansa or Deutsche Bahn on a worldwide scale.

mediaTest digital GmbH

Goseriede 4
30159 Hannover
Fon +49 (0)511 353 994 22
Fax +49 (0)511 353 994 12

contact (at) mediatest-digital.com (PGP)