1949402

So entlarven Sie Schnüffel-Apps

14.11.2017 | 10:45 Uhr |

Viele Apps verlangen mehr Berechtigungen, als sie zum Funktionieren brauchen. Wir verraten, wie Sie Schnüffel-Apps entlarven.

Auf Ihrem Android-Gerät sind in der Regel diverse Apps installiert: von den Applikationen sozialer Netzwerke wie Facebook, Messengern wie Hangouts oder Whatsapp über Info-Anwendungen wie Wettervorhersage, Nachrichten und Fahrplanauskunft bis hin zu diversen Spiele-Apps und Dienstprogrammen wie beispielsweise einer Taschenlampe. Gerade bei Android ist die Hemmschwelle, viele Applikationen zu installieren, besonders niedrig, weil die meisten kostenlos erhältlich sind. Dafür sind die dann oft – mal mehr, mal weniger dezent – mit Werbung garniert. Manche Apps tun aber nicht nur das, was sie sollen und was der Benutzer von ihnen erwartet. Sie kommunizieren darüber hinaus noch übers Internet mit Servern des Herstellers, mit denen von Zugriffsanalysediensten und – bei anzeigenfinanzierten Apps – mit Servern von Werbevermarktern.

Android-Sicherheitslücken: So schützen Sie sich

Welche App-Rechte sind notwendig?

Damit Anwendungen ordnungsgemäß funktionieren, benötigen sie stets eine Reihe Berechtigungen. So beansprucht eine Taschenlampen-Applikation Zugriff auf die Kamera, da sie das Licht des LED-Blitzes nutzt, um Ihnen auf dem Weg zu leuchten, und eine Navigations-App muss selbstverständlich auf die GPS-Funktion Ihres Geräts zugreifen dürfen. Leider verlangen viele Applikationen deutlich mehr Rechte, als sie eigentlich benötigen. Doch was genau bedeutet das für Sie und Ihre privaten Daten?

Apps überwachen, wann und wie Sie sie benutzen: Einigermaßen unbedenklich ist die Übertragung von statistischen Daten an den Hersteller, also zum Beispiel die Infos, wie oft ein bestimmter (aber namentlich nicht bekannter) Benutzer die App gestartet und welche Aktionen er durchgeführt hat. Hier greift das Argument, dass der Hersteller diese Infos benötigt, um sich bei der Weiterentwicklung der App am Bedarf der Benutzer auszurichten.

Analysedienste erstellen Benutzerprofile von App-Anwendern: Allerdings nutzen manche App-Anbieter externe Dienste zur Auswertung und Erhebung Ihrer Nutzerdaten. Diese verwenden dann nicht nur die Anwendungsmacher, sondern oftmals auch die Analysedienste selbst. Und für die Werbewirtschaft ist die Information, welcher Benutzer welche Interessen hat, Gold wert. Denn so lassen sich Anzeigen zielgerichtet platzieren, und jeder potenzielle Kunde bekommt die passenden Inhalte.

Verschaffen Sie sich einen Überblick über die App-Rechte.
Vergrößern Verschaffen Sie sich einen Überblick über die App-Rechte.

Benutzerprofile basieren auf den Gerätekennung( en): Um gerätespezifische Profile zu erstellen, lesen viele Apps die Identifikationsnummern unveränderlicher Hardwarekomponenten aus, zum Beispiel die „MAC-Adresse“ des WLAN-Chips, die des Mobilfunkmoduls (IMEI) oder die von Android generierte „Android ID“ oder „Werbe- ID“. Es gibt darüber hinaus auch Apps, die das Adressbuch, SMS oder andere persönliche Daten aus dem Smartphone auslesen und versenden. Wiederkennungswert: Werbenetzwerke und Analysedienste erkennen Geräte zum Beispiel an der Android-ID wieder, da sie gerätespezifisch ist und nur beim Zurücksetzen des Smartphones auf Werkszustand neu generiert wird.

Manche Apps übertragen Passwörter unverschlüsselt: Eine noch größere Gefahr geht von Apps aus, bei denen man sich mit Zugangsdaten für einen bestimmten Dienst anmeldet. Wenn diese Apps die Benutzerdaten unverschlüsselt übertragen, könnten sie von Datenspionen mitgeschnitten werden – und zwar immer dann, wenn das Smartphone in einen öffentlichen Hotspot eingebucht ist, zum Beispiel in einem Restaurant, Café oder Hotel. Da viele Anwender die gleichen Benutzerdaten für mehrere Internetdienste verwenden, stehen Kriminellen damit Tür und Tor offen.

Tipp: Die besten Tipps zu Android 7 "Nougat"

App-Benachrichtigungen verwalten

Damit Ihre Daten privat bleiben, sollten Sie die Berechtigungseinstellungen Ihrer Apps überprüfen und gegebenenfalls anpassen. Extrem neugierige Applikationen müssen Sie so schnell wie möglich deinstallieren.

Neuinstallation nach dem App-Entzug.
Vergrößern Neuinstallation nach dem App-Entzug.

App-Rechte überprüfen: Zunächst einmal sollten Sie sich ein Bild von der aktuellen Situation verschaffen: Welche Apps sind installiert, und welche Rechte fordern diese ein? Einen Überblick darüber bekommen Sie unter „Einstellungen –> Apps –> [Name der App] –> Berechtigungen“. Um die Berechtigungen der App bereits vor dem Installieren zu prüfen, tippen Sie im Google Play Store bei der herunterzuladenden App auf „Installieren“. Daraufhin werden die Zugriffsrechte eingeblendet, die Sie mit einem Tipp auf „Akzeptieren / Herunterladen“ bestätigen. Sollte dann nicht klar sein, wieso beispielsweise eine Spiele-App auf Ihre persönlichen Informationen zugreifen will, laden Sie diese Anwendung am besten gar nicht erst herunter.

Mithilfe der App „SRT Appguard“ können Sie einschätzen, wie sicher eine Anwendung ist.
Vergrößern Mithilfe der App „SRT Appguard“ können Sie einschätzen, wie sicher eine Anwendung ist.

Zugriffsrechte beschränken: Ab Android 6.0 können Sie einzelne Berechtigungen, die eine Anwendung verlangt, innerhalb der App-Info deaktivieren. Mit dem „SRT Appguard“ können Sie auch auf anderen Android-Geräten die Berechtigungen verwalten. Da die Anwendung aktuell nicht mehr im Google Play Store verfügbar ist, laden Sie sich unter www.srt-appguard.com die APK-Datei herunter und installieren diese auf Ihrem Smartphone. Mit „SRT Appguard“ überwachen Sie ausgewählte Apps auf deren Verhalten und den eventuellen Zugriff auf sicherheitsrelevante Ressourcen. Die Anwendung gibt Ihnen eine verlässliche Risikoeinschätzung für alle installierten Apps: Die Messenger-App „ Whatsapp “ beispielsweise schnitt zum Testzeitpunkt mit einem Risiko-Score von 8,8 nicht sonderlich gut ab. Wenn eine App auf Ihre Daten zugreift und Sie ihr dafür keine Erlaubnis geben wollen, entziehen Sie dieser Applikation mithilfe von „SRT Appguard“ die entsprechenden Rechte. Achtung: Sobald Sie die Überwachung für eine App freigeben, wird sie samt ihren Daten gelöscht, das heißt beispielsweise, es gehen auch Spielstände eines Spiels damit verloren. Anschließend müssen Sie die erneute Installation nur bestätigen. Über Ihren Testzugang können Sie maximal vier Apps überwachen; für weitere Anwendungen können Sie auf die Proversion wechseln, für die 3,99 Euro fällig werden. Bereits installierte Apps überprüfen Sie über den Punkt „Neue App überwachen“ im Menü von „SRT Appguard“. Die Sicherheits-App führt Sie nach der Auswahl der zu überwachenden Applikation durch die erforderlichen Schritte. Unter dem Menüpunkt „Überwachte Apps verwalten“ ändern Sie die Berechtigungen einer Anwendung. Möchten Sie die Urfassung einer App wiederherstellen, dann wählen Sie unter demselben Punkt die Option „Original-App wiederherstellen“ aus.

Zeichnen Sie mit der Anwendung „tPacketCapture“ den Datenverkehr von anderen Apps auf.
Vergrößern Zeichnen Sie mit der Anwendung „tPacketCapture“ den Datenverkehr von anderen Apps auf.

Testen: Welche App sendet was?

Es ist nicht einfach, selbst dahinter zu kommen, welche App welche persönlichen Daten übers Internet verschickt. Ein Ansatzpunkt ist es, den kompletten Datenverkehr mitzuschneiden („Sniffen“), möglichst getrennt nach App, und diesen auszuwerten. Das Mitschneiden ist bei gerooteten Android-Geräten mit passenden Apps wie „Shark for Root“ und „Sniffdroid“ kein größeres Problem. Die einzige uns bekannte Sniffing-App, die ohne Rooting funktioniert, ist „tPacketCapture“. Sie nutzt einen Trick, um ohne einschneidenden Systemzugriff an die Netzwerkdaten zu kommen: eine simulierte VPN-Verbindung. Eigentlich ist die VPN-Funktion von Android dazu da, um sich übers Internet und einen VPN-Server verschlüsselt mit einem (anderen) internen Netzwerk zu verbinden. Je nach Konfiguration wandern bei einer bestehenden VPN-Verbindung alle oder nur bestimmte Netzwerkdaten zum VPNServer. „tPacketCapture“ simuliert einen lokalen VPN-Server, baut eine Verbindung dorthin auf und kann dadurch alle Daten mitprotokollieren.

Tipp: Android richtig und sicher zurücksetzen - so geht's

Unter der IP-Adresse, die mit der Zahlenkombination 10.8 beginnt, finden Sie Ihr Android-Gerät.
Vergrößern Unter der IP-Adresse, die mit der Zahlenkombination 10.8 beginnt, finden Sie Ihr Android-Gerät.

Schritt 1: Mittschnitt starten

Nach dem Start der App tippen Sie auf „Capture“, um den Mitschnitt zu starten. Daraufhin fragt Android, ob Sie damit einverstanden sind, dass die App eine VPN-Verbindung herstellt. Tippen Sie nacheinander auf „Ich vertraue dieser App“ und dann „OK“. Starten Sie nun die App, die Sie überwachen wollen, und benutzen Sie sie einige Minuten lang.

Um die Aufzeichnung zu beenden, öffnen Sie den Android-Infobereich, indem Sie den Finger auf die Uhrzeit rechts oben setzen und herunterwischen. Dann tippen Sie erst unten auf „Das Netzwerk wird möglicherweise überwacht“. Es öffnet sich ein Fenster mit dem Titel „Netzwerküberwachung“. Hier tippen Sie auf die Einstellungen und dann auf das Zahnradsymbol rechts oben im Bildschirm. Entscheiden Sie sich anschließend für die Option „Entfernen“. In der App sehen Sie nun im Abschnitt „Current File“ den Namen und die Größe der Datei, die den Mitschnitt beinhaltet. Standardmäßig liegt sie im Verzeichnis \Android\data\jp.co.taosoftware.android. packetcapture\files\. Eine vernünftige und kostenlose Android-App zur Anzeige der mitgeschnittenen Daten konnten wir nicht ausfindig machen. Daher empfehlen wir, die Daten am PC auszuwerten. Zuvor kopieren Sie die Mitschnitt- Datei(en) per USB-Verbindung oder mit einer App wie Airdroid per WLAN auf ihren PC.

Unter „Statistiken –> Endpunkte –> IPv4“ erhalten Sie eine Darstellung des Datenverkehrs einer App.
Vergrößern Unter „Statistiken –> Endpunkte –> IPv4“ erhalten Sie eine Darstellung des Datenverkehrs einer App.

Schritt 2: Mitschnitt öffnen

Zum Auswerten des Paketmitschnitts eignet sich die Freeware Wireshark hervorragend. Das Tool verwenden Sie am besten in der portablen Version. Falls Sie doch zum herkömmlichen Setup-Paket greifen sollten, müssen Sie den Paketmitschnitttreiber Winpcap nicht mit installieren – es sei denn, Sie wollen auch den Datenverkehr Ihres PCs protokollieren. Um Deutsch als Sprache auszuwählen, falls nötig, klicken Sie „Edit –> Preferences –> Appearance –> Language“. Klicken Sie nun auf „Datei –> Öffnen“, und wählen Sie eine vom Android-Gerät kopierte Mitschnittdatei mit der Endung PCAP aus. Daraufhin sehen Sie im oberen Drittel eine tabellarische Ansicht aller protokollierten Datenpakete, im mittleren Drittel Detailinfos zum ausgewählten Paket und im unteren Drittel dessen (binären) Inhalt.

Die Spalte „No.“ gibt die laufende Nummer des Pakets an, die Spalte „Time“ die Sekunden seit dem Start des Paketmitschnitts. Über „Ansicht –> Format der Zeitanzeige“ können Sie stattdessen auch „Datum und Uhrzeit“ auswählen und so einen genauen Datums- und Uhrzeitstempel jedes Eintrags erhalten. In der Spalte „Source“ steht, woher das Datenpaket kam, und unter „Destination“, wohin es ging. Die IP-Adresse, die mit „10.8.“ beginnt, ist Ihr Android-Gerät, genauer gesagt die Adresse des von „tPacketcapture“ emulierten VPN-Adapters. Das verwendete Übertragungsprotokoll entnehmen Sie der Spalte „Protocol“. Die Größe des Datenpakets steht unter „Length“. Und einen Auszug aus dem Inhalt fördert die Spalte „Info“ zutage.

Wie Sie sofort sehen, befinden sich in den Spalten „Source“ und „Destination“ nur (numerische) IP-Adressen. Daher sollten Sie unter „Bearbeiten –> Einstellungen –> Name Resolution“ die Option „Resolve network (IP) addresses“ aktivieren. Sie sorgt dafür, dass Wireshark versucht, sofern möglich, bei bestehender Internetverbindung die zu den IP-Adressen gehörenden Domainnamen zu ermitteln. Eine leichter verdauliche Darstellung, die alle kontaktierten Server zusammenfasst, erhalten Sie über „Statistiken –> Endpunkte –> IPv4“ in einem separaten Fenster.

Um die Daten nach einer bestimmten IP-Adresse zu filtern, wählen Sie die Option „Folgen –> TCPStream“ aus.
Vergrößern Um die Daten nach einer bestimmten IP-Adresse zu filtern, wählen Sie die Option „Folgen –> TCPStream“ aus.

Schritt 3: Mitschnitt auswerten

Nun beginnt die Detektivarbeit. Möchten Sie die Kommunikation mit einem speziellen Server genauer unter die Lupe nehmen, klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen „Als Filter anwenden –> das Ausgewählte“. Nun zeigt das Hauptfenster von Wireshark nur noch die betreffenden Pakete an. Klicken Sie das erste davon mit der rechten Maustaste an, und wählen Sie „Folgen –> TCP Stream“, um den Inhalt des Pakets in einer besser lesbaren Form und zusammen mit dem Inhalt der dazugehörigen anderen Pakete zu sehen. In der Regel handelt es sich um ein Anfrage-Antwort-Pärchen: Am Anfang steht die Anfrage, die Ihr Android-Gerät an einen Internetserver gesendet hat, darauf folgt dessen Antwort. Die gesendeten Daten sind dabei in Rot eingefärbt, die empfangenen in Blau. Beachten Sie, dass Sie viele Paketinhalte nicht entziffern können werden. Nämlich einerseits, wenn es sich um Binärinhalte wie Bilder handelt – und zum anderen, wenn die Daten verschlüsselt übertragen wurden, zum Beispiel per Https.

Um zu überprüfen, ob persönliche oder gerätespezifische Informationen übertragen wurden, können Sie danach suchen, indem Sie über „Bearbeiten –> Paket finden“ die Suchmaske öffnen und darin „Zeichenkette“ aktivieren. Im dritten unteren Teil des Fensters finden Sie das „Packetbytes“-Fenster im Hex-Format. Wie die Android-ID Ihres Geräts lautet, zeigt Ihnen die kostenlose App „Android Id Info“ an. Die IMEI Ihres Telefonmoduls können Sie abfragen, indem Sie *#06# über die Wähltasten eingeben. Und die „Werbe-ID“ erfahren Sie über die App „Google Einstellungen“ in der Rubrik „Anzeigen“. Wenn Sie während des Paketmitschnitts persönliche Daten oder Passwörter eingegeben haben, können Sie auch danach suchen, um festzustellen, ob diese unverschlüsselt übertragen wurden.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

1949402