Welche bessere Werbung gibt es für ein neues Security-Tool, als passende Sicherheitsprobleme? Das ist der erste Gedanke bei dieser Pressemitteilung: Forscher testeten 10.000 Android Apps und stellten fest, dass 69% der Apps unverschlüsselt über das Internet kommunizieren.
Die Pressemitteilung stammt von Fraunhofer-Institut für Angewandte und Integrierte Sicherheit und es geht um das Ergebnis eines Test mit den 10.000 beliebtesten Android-Apps mit App-Ray. Eine Lösung eben jenes Instituts zur vollautomatischen Analyse von Android-Apps. Na das passt doch perfekt zusammen. Das Ergebnis des Tests ist aber trotzdem interessant und einiges kann einem da schon ein wenig Bauchschmerzen machen.
Natürlich sind das erstmal nur Zahlen, so sagt es erstmal nichts über die Sicherheit aus, dass 1.732 der untersuchten Apps direkt beim Booten des Devices mit starten. Die 49% der Apps, die Zugriff auf den Standort des Geräts nehmen werden das – zumindest in den meisten Fällen – wohl aus guten Gründen tun. Aber in Anbetracht von 69% Apps, die unverschlüsselt über das Netz kommunizieren, könnte man glauben, dass die ganzen Enthüllungen rund um die Schnüffelei im Netz durch Geheimdienste komplett an den App-Entwicklern vorbei gegangen ist. Und wenn man nun denkt, dass immerhin 31% ja Verschlüsselung verwenden, nun, 26% der getesteten Apps verwenden laut AISEC zwar Verschlüsselung, aber überprüfen das Serverzertifikat nicht. Denen könnte man also relativ leicht einen anderen Server als den gewünschten unterschieben.
Dabei sind auch Apps aufgefallen, bei denen es nicht wirklich klar ist, warum die mit dem Internet kommunizieren müssen. Während es bei vielen Apps natürlich Sinn ergibt oder auch notwendig ist – Facebook offline ist einfach ein wenig öde – erschließt sich die Notwendigkeit zur Internetverbindungen bei einer Taschenlampen-App nicht auf Anhieb.
Was auch immer man von der Untersuchung halten will, sie macht eines deutlich: Man sollte durchaus lieber mal einen Blick zu viel auf die geforderten Berechtigungen einer App werfen als zu wenig und sich keinesfalls darauf verlassen, dass die Entwickler einer App von sich aus an die Sicherheit von Nutzerdaten denken – das gilt unabhängig von der verwendeten Plattform.