1949402

So entlarven Sie Schnüffel-Apps

18.07.2014 | 12:09 Uhr |

Es ist nicht einfach, selber dahinter zu kommen, welche App welche persönlichen Daten übers Internet verschickt. Hier erfahren Sie, wie Sie solchen Apps auf die Schliche kommen.

Ein Ansatzpunkt um schnüffelnde Apps zu entlarven ist es, den kompletten Datenverkehr mitzuschneiden („sniffen“), möglichst getrennt nach App, und diesen auszuwerten. Das Mitschneiden ist bei gerooteten Android-Geräten mit passenden Apps wie „Shark for Root“ und Sniffdroid kein größeres Problem. Die einzige uns bekannte Sniffing-App, die ohne Rooting funktioniert, ist tPacketCapture . Sie nutzt einen Trick, um ohne einschneidenden Systemzugriff an die Netzwerkdaten zu kommen: eine simulierte VPN-Verbindung.

Eigentlich ist die VPN-Funktion von Android dazu da, um sich übers Internet und einen VPN-Server verschlüsselt mit einem (anderen) internen Netzwerk zu verbinden. Je nach Konfiguration wandern bei einer bestehenden VPN-Verbindung alle oder nur bestimmte Netzwerkdaten zum VPN-Server. Tpacketcapture simuliert einen lokalen VPN-Server, baut eine Verbindung dorthin auf und kann dadurch alle Daten mitprotokollieren.

Auf die Lauer legen: Um herauszufinden, ob eine App persönliche Daten überträgt, können Sie den gesamten Netzwerkverkehr Ihres Android-Geräts mitschneiden.
Vergrößern Auf die Lauer legen: Um herauszufinden, ob eine App persönliche Daten überträgt, können Sie den gesamten Netzwerkverkehr Ihres Android-Geräts mitschneiden.

Datenspione enttarnen – Schritt 1: Mitschnitt starten

Nach dem Start der App tippen Sie auf „Capture“, um den Mitschnitt zu starten. Daraufhin fragt Android, ob Sie damit einverstanden sind, dass die App eine VPN-Verbindung herstellt. Tippen Sie nacheinander „Ich vertraue dieser App“ und dann „OK“ an. Starten Sie nun die App, die Sie überwachen wollen und benutzen Sie sie einige Minuten lang.

Um die Aufzeichnung zu beenden, öffnen Sie den Andrdoid-Infobereich, indem Sie den Finger auf die Uhrzeit rechts oben setzen und herunterwischen. Dann tippen Sie erst auf den VPN-Eintrag und dann auf „Verbindung trennen“. In der App sehen Sie nun im Abschnitt „Current File“ den Namen und die Größe der Datei, die den Mitschnitt beinhaltet. Standardmäßig liegt sie im Verzeichnis \Android\data\jp.co.taosoftware.android.packetcapture\files\. Eine vernünftige und kostenlose Android-App zur Anzeige der mitgeschnittenen Daten konnten wir nicht ausfindig machen. Daher empfehlen wir, die Daten am PC auszuwerten. Zuvor kopieren Sie die Mitschnitt-Datei(en) per USB-Verbindung oder mit einer App wie Airdroid per WLAN auf ihren PC.

Datenspione enttarnen – Schritt 2: Mitschnitt öffnen

Zum Auswerten des Paketmitschnitts eignet sich die Freeware Wireshark (www.wireshark.org) hervorragend. Das Tool verwenden Sie am besten in der portablen Version. Falls Sie doch zum herkömmlichen Setup-Paket greifen sollten, müssen Sie den Paketmitschnitt-Treiber Winpcap nicht mitinstallieren – es sei denn, Sie wollen auch den Datenverkehr Ihres PCs protokollieren.

Die Wireshark-Meldung „The NPF driver isn't running.  You may have trouble“ können Sie ignorieren und mit „Don‘t show this message again“ dauerhaft abschalten. Klicken Sie auf „File -> Open“ und wählen Sie eine vom Android-Gerät kopierte Mitschnitt-Datei mit der Endung PCAP aus. Daraufhin sehen Sie im oberen Drittel eine tabellarische Ansicht aller protokollierten Datenpakete, im mittleren Drittel Detail-Infos zum ausgewählten Paket und im unteren Drittel dessen (binären) Inhalt.

Die Spalte „No.“ gibt die laufende Nummer des Pakets an, die Spalte „Time“ die Sekunden seit dem Start des Paketmitschnitts. Über „View -> Time Display Format“ können Sie stattdessen auch „Date and time of day“ auswählen und so einen genauen Datums- und Uhrzeitstempel jedes Eintrags erhalten. In der Spalte „Source“ steht, woher das Datenpaket kam und unter „Destination“, wohin es ging. Die IP-Adresse, die mit „10.8.“ beginnt, ist Ihr Android-Gerät, genauer gesagt die Adresse des von Tpacketcapture emulierten VPN-Adapters. Das verwendete Übertragungsprotokoll entnehmen Sie der Spalte „Protocol“. Die Größe des Datenpakets steht unter „Length“. Und einen Auszug aus dem Inhalt fördert die Spalte „Info“ zutage.

Wie Sie sofort sehen, befinden sich in den Zeilen „Source“ und „Destination“ nur (numerische) IP-Adressen. Daher sollten Sie unter „Edit -> Preferences -> Name Resolution“ die Option „Enable for network layer“ aktivieren. Sie sorgt dafür, dass Wireshark versucht, sofern möglich, bei bestehender Internet-Verbindung die zu den IP-Adressen gehörigen Domain-Namen zu ermitteln.

Eine leichter verdauliche Darstellung, die alle kontaktierte Server zusammenfasst, erhalten Sie über „Statistics -> Endpoint List -> IPv4“ in einem separaten Fenster.

Erwischt: Während die Musiksuch-App Shazam lief, haben wir mit Hilfe von Tpacketcapture den Netzwerkverkehr mitgeschnitten und mit Wireshark ausgewertet. Rot markiert: Die Android ID unseres Geräts, die an den Analyse-Dienst Flurry übermittelt wurde.
Vergrößern Erwischt: Während die Musiksuch-App Shazam lief, haben wir mit Hilfe von Tpacketcapture den Netzwerkverkehr mitgeschnitten und mit Wireshark ausgewertet. Rot markiert: Die Android ID unseres Geräts, die an den Analyse-Dienst Flurry übermittelt wurde.

Datenspione enttarnen – Schritt 3: Mitschnitt auswerten

Nun beginnt die Detektivarbeit. Möchten Sie die Kommunikation mit einem speziellen Server genauer unter die Lupe nehmen, klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen Sie „Apply as Filter -> Selected“. Nun zeigt das Hauptfenster von Wireshark nur noch die betreffenden Pakete an. Klicken Sie das erste davon mit der rechten Maustaste an und wählen Sie „Follow TCP Stream“ um den Inhalt des Pakets in einer besser lesbaren Form und zusammen mit dem Inhalt der dazugehörigen anderen Pakete zu sehen. In der Regel handelt es sich um ein Anfrage-/Antwort-Pärchen: Am Anfang steht die Anfrage, die Ihr Android-Gerät an einen Internet-Server gesendet hat, darauf folgt dessen Antwort. Die gesendeten Daten sind dabei in rot eingefärbt, die empfangenen in blau. Beachten Sie, dass Sie viele Paketinhalte nicht entziffern können werden. Nämlich einerseits, wenn es sich um Binärinhalte wie Bilder handelt - und zum anderen, wenn die Daten verschlüsselt übertragen wurden, zum Beispiel per Https.

Um zu überprüfen, ob persönliche oder gerätespezifische Informationen übertragen wurden, können Sie danach suchen, indem Sie über „Edit -> Find Packet“ die Suchmaske öffnen und darin „String“ und „Packet bytes“ aktivieren. Wie die Android-ID Ihres Geräts lautet, zeigt Ihnen die kostenlose App „Android Id Info“ an. Die IMEI Ihres Telefonmoduls können Sie abfragen, indem Sie *#06# über die Wähltasten eingeben. Und die „Werbe-ID“ erfahren Sie über die App „Google Einstellungen“ in der Rubrik „Anzeigen“. Wenn Sie während des Paketmitschnitts persönliche Daten oder Passwörter eingegeben haben, können Sie auch danach suchen, um festzustellen, ob diese unverschlüsselt übertragen wurden.

0 Kommentare zu diesem Artikel
1949402