Daten-Sicherheit auf Android-Handys Die Anti-Schnüffel-App von der Uni

Von Stefan Michel

Junge Forscher an der Uni Siegen haben eine kostenlose Anwendung entwickelt, die den Datenschutz beim Handy vereinfacht.  Bevor der Nutzer auf App-Suche geht, schließt er bedenkliche Berechtigungen aus, wie den Zugriff auf seine Kontaktdaten.


Am Anfang stand der persönliche Ärger über Schnüffel-Apps. Doktorand Simon Meurer wollte sich eigentlich nur ein neues Hintergrundbild aufs Smartphone laden. Da Meurers Fachgebiet am Lehrstuhl für Betriebssysteme die Datensicherheit ist, wusste er, was vor jedem Download zu tun ist: Die Berechtigungsliste ansehen!

Erst Berechtigungen lesen, dann herunterladen

Für Googles Betriebssystem Android gibt es zu jeder der bald eine Million Apps eine Website. Und auf der Website steht nachzulesen, was die jeweilige App auf dem Handy des Nutzers so alles tun darf, sobald man sie herunter lädt. Bei einem Hintergrundbild nach dem anderen sah sich Meurer also die Berechtigungen an. Und stellte fest, dass die simplen Bildchen-Apps seine Kontaktdaten einlesen, selbsttätig von seinem Handy aufs Internet zugreifen oder SMS verschicken wollten. Berechtigungen, die für ein Hintergrundbild unsinnig sind bzw. die Absicht zum Datenklau und Betrug befürchten lassen. Allerdings ist es sehr zeitaufwendig, App für App deren Website aufzuschlagen und deren Berechtigungen nachzulesen. "Das muss einfacher gehen", entschied Meurer, "wenn ich schon vor der Suche festlegen kann, welche Berechtigungen ich nicht vergeben will". Die Idee für APEFS war geboren. (Der sperrige Name steht für "Android Permission Filter System".)

Download bedenkenfrei

Erst einmal haben die Siegener Informatiker aber mit einem kleinen Experiment bewiesen, dass es dringenden Bedarf an einer solchen App gibt. Weil sich die meisten User sich keinerlei Gedanken über Datensicherheit machten, meint Meurer. "Wir haben zwei Apps einfach nur mit Hintergrundbildern erstellt. Und wir haben diesen Apps alle Berechtigungen gegeben, die es nur gibt, 130 Stück. Und trotzdem haben die Leute das 6.000 Mal herunter geladen."


Vorarbeiten an der Anti-Schnüffel-App haben zwei Studenten im Rahmen ihrer Bachelor-Arbeiten geleistet; der Dritte, Eduard Boss, durfte sie fertig programmieren und testen. Seit Kurzem steht die App mit dem lustigen grünen Affen-Icon zum kostenlosen Download bereit. Die Arbeit an APEFS "hat mir wirklich sehr gut gefallen", schwärmt Boss. "Sehr viele von meinen Bekannten haben die App ausprobiert, und es war schön zu sehen, dass sie wirklich gebraucht wird."

Berechtigungslisten automatisch durchkämmt

In APEFS findet der Nutzer eine Liste mit heiklen Berechtigungen, die er sperren kann: etwa das Recht, kostenpflichtige Dienste anzusteuern oder SMS zu verschicken oder den Telefonspeicher anzuzapfen. Er kann seine persönliche Einstellung auf alle Apps anwenden, auch auf die bereits geladenen, oder nur auf eine bestimmte Anwendung, nach der er gerade suchen will. APEFS klemmt sich dann wie ein Filter zwischen das Handy und Google Play (wie der App-Store bei Android heißt). Das verzögert die Suche um einige Augenblicke. In dieser kurzen Zeitspanne ruft APEFS die Websites aller infrage kommenden Apps auf, durchsucht sie nach den gesperrten Berechtigungen und filtert alle Anwendungen aus, die neugieriger sind als vom User erlaubt.

Das kann dazu führen, dass der Nutzer über APEFS gar nicht findet, wonach er sucht. Wenn er "kostenpflichtige Dienste" gesperrt hat, findet er kein Telefonprogramm à la Skype. Und wenn "Ortung" gesperrt ist, wird kein einziges Navigations-Programm den Filter passieren. Denn ohne solche Berechtigungen sind diese Anwendungen nicht funktionsfähig. Macht nichts, findet Meuer, denn "uns geht es darum, dass der Benutzer sich überlegt, wonach er sucht." Eine Navigations-App braucht GPS-Daten, eine Übersetzungs-App braucht Zugriff aufs Internet, ein Rechner braucht keins von beidem.

"Licht in den Dschungel gebracht"

In den einschlägigen Online-Magazinen kommt die App von der Uni Siegen übrigens gut weg. "APEFS bringt Licht in den Dschungel der Berechtigungslisten", urteilt datenschutzticker.de. "Die App ist für alle Nutzer interessant", so Peter Marwan, Chefredakteur von ITespresso.de, zu WDR.de. "Sie ist relativ nutzerfreundlich. Bei einer ersten Version gibt es immer noch was zu verbessern, aber die sind schon auf dem richtigen Weg."


Stand: 28.01.2013, 06.00 Uhr


Kommentare zum Thema (10)

letzter Kommentar: 28.01.2013, 17.24 Uhr

Bei LBE privacy Guard wäre ich vorischtig: schrieb am 28.01.2013, 17.24 Uhr:
Wenn ich nicht irre: Chinesiche Software, kein Open Source. Was die sonst noch so treibt auf dem Fon weiß kein Mensch. Schön aber, dass doch einige Menschen dem ungehinderten Datensaugen gegen kleine Vorteile nicht tatenlos zusehen wollen.
LBE schrieb am 28.01.2013, 15.01 Uhr:
Seit ich ein Smartphone habe, nutze ich "LBE Privacy Guard". Statt auf Apps zu verzichten, kann ich so mit wenigen „Klicks“ ganz einfach jeder einzelnen App Zugriffe erlauben bzw. verweigern. So bleiben ganz nebenbei auch viele Apps werbefrei, da z.B. ein „Angry Birds“ überhaupt keine Netzverbindung benötigt.
Impartial schrieb am 28.01.2013, 14.25 Uhr:
"Bernd schrieb heute, 12:09 Uhr: Hallo liebe Uni Siegen Studies es wäre echt super wenn ihr ein gleiches Programm für das IOS von Apple erstellen würdet..." Genau das dürfte unmöglich sein, da solch eine App wohl nie eine offizielle Zulassung von Apple bekäme und es somit auch niemals in den Apple App-Store schaffen würde. "App Guard der Uni Siegen ist da noch besser: schrieb heute, 10:18 Uhr: Jeder App kann nachträglich der Zugang zu bestimmten REchten verwehrt werden, so dass fast alle Apps in der Grundfunktion (fürdie sie runter geladen werden) noch funktionieren." Dies ist allerdings NICHT legal, denn zum nachträglichen Entzug der Rechte muss der Programmcode einer App auch nachträglich modifiziert werden. Genau das verbieten aber die Lizenzbedingungen in den allermeisten Fällen ganz ausdrücklich. Fazit: Wenn man meint, eine App verlange zu viele Rechte, dann soll man sie einfach nicht installieren
@Anonym schrieb heute, 11:50 Uhr: DB-APP schrieb am 28.01.2013, 14.19 Uhr:
ganz einfach drauf verzichten. Geht, indem man die GLEICHEN Infos von der Homepage abruft. Dazu muss man nur seine Reiseziele (Abfahrtsort/Standort) selber eingeben. kostet halt ein klein klein wenig mehr Mühe und man hat keine so tolle App aufm phon. Mensch SMartphone-User, werdet erwachsen!
Woll-mann schrieb am 28.01.2013, 13.28 Uhr:
Wer kann noch die Machenschaften der Gierigen in diesem Staat kontrollieren? Klare Regel, einfache Kontrollen und gut ist es. Oder legt der Rechtsstaat sich langsam lahm?

Alle Kommentare anzeigen