Vor allem Eltern nutzen Sie gern, um ihre Kinder jederzeit orten zu können: Tracker-Apps. Nun zeigt ein Bericht des Frauenhofer SIT aber, dass viele Android-Tracking-Apps gravierende Sicherheitslücken aufweisen.
Was das konkret heißt und wie Angreifer die Schwachstellen ausnutzen können, erfahrt ihr bei uns.
So funktionieren die Android-Tracking-Apps
Sogenannte Monitoring-Apps bzw. Tracker-Apps werden immer beliebter. Damit könnt ihr das Smartphone einer anderen Person überwachen und genau sehen, an welchem Ort sie sich gerade befindet oder welche Nachrichten und Bilder sie verschickt. Das Ganze funktioniert über das GPS-Modul, das in Smartphones und ähnlichen mobilen Geräten verbaut ist. Mehr zum Thema GPS-Tracker lest ihr auch bei uns im Blog.
Um eins vorweg zu nehmen: Die Nutzung einer solchen Tracker-App ist legal – zumindest solange der Besitzer des getrackten Geräts mit deren Installation einverstanden ist. Vor allem Eltern nutzen solche Monitoring-Apps, um jederzeit zu wissen, an welchem Ort sich ihre Kinder gerade befinden oder mit wem sie welche Bilder und Nachrichten austauschen.
In vielen Android-Tracking-Apps schlummern gravierende Sicherheitslücken, die die Datensicherheit der Nutzer bedrohen. (Bild: pixabay.com/rawpixel)
Android-Tracking-Apps mit gravierenden Sicherheitslücken
Zumindest im Eltern-Kind-Szenario sind Tracker-Apps durchaus sinnvoll, um beispielsweise sicherzustellen, dass das Kind sicher zur Schule oder nach Hause gelangt. Nun zeigt aber ein Bericht des Frauenhofer SIT, den die Forscher auf der Hacking-Konferenz DEF CON in Las Vegas vorgestellt haben, dass viele der Android-Tracking-Apps gravierende Sicherheitslücken aufweisen.
Im Test fielen dabei alle 19 der getesteten legalen Monitoring-Apps aus dem Google Play Store durch. Insgesamt haben die Forscher 37 Schwachstellen gefunden – und zwar in Anwendungen, die allesamt millionenfach auf Smartphones installiert wurden.
So können Angreifer die Schwachstellen ausnutzen
Das größte Problem der getesteten Android-Tracking-Apps ist die Datensicherheit. So werden laut eines Berichts von Peter Schmitz sensible Nutzerdaten im Klartext auf einem Server abgespeichert. Eine zusätzliche Verschlüsselung gibt es nicht. Angreifer können das ausnutzen, um relativ unkompliziert Chats und SMS-Nachrichten abzufangen und Bilder auf dem Gerät des Opfers anzuschauen. Außerdem können sie ein komplettes Bewegungsprofil des Angriffsopfers erstellen.
So reichte es im Test der Forscher meist aus, eine bestimmte Website aufzurufen und einen Nutzernamen in die URL einzugeben, um das Bewegungsprofil des entsprechenden Users aufzurufen. Angreifer können so jedoch nicht nur einzelne Nutzer überwachen. Sie haben stattdessen Zugriff auf alle Bewegungsprofile, die ungesichert auf einem Server gespeichert sind. Das heißt konkret: Angreifer können tausende Menschen in Echtzeit verfolgen, erklärt Frauenhofer-Projektleiter Siegfried Rasthofer im oben genannten Artikel.
Android-Tracking-Apps ohne Verschlüsselung
Doch damit nicht genug. Die getesteten Android-Tracking-Apps, also GPS Tracker für Android-Handys, speichern auch die Anmeldeinformationen der Nutzer unverschlüsselt. Auch diese konnten die Forscher problemlos auslesen. Bei einer der Tracker-Apps hat das Forscherteam beispielsweise rund 1.700.000 Login-Daten gefunden, die unverschlüsselt und zumindest unzureichend gesichert auf dem Server gespeichert wurden.
Das Forscherteam des Frauenhofer SIT hat den Google Play Store sowie die App-Hersteller bereits über die Ergebnisse des Berichts informiert. 12 der 19 getesteten Apps sind bereits nicht mehr im Play Store verfügbar. Die restlichen Anbieter haben dagegen noch nicht reagiert. In jedem Fall ist es sinnvoll, zunächst auf den Einsatz solcher Tracker-Apps zu verzichten, bis die Anbieter die Schwachstellen geschlossen haben.
Wenn ihr eine Android-Tracking-App verwendet, solltet ihr euer Smartphone außerdem einmal mit einem Virenschutz überprüfen. Euer PC-SPEZIALIST vor Ort berät euch gern zur Auswahl der passenden Antiviren-Software und hilft euch bei deren Installation.
Hallo
Wie kann man den überhaupt bemerken oder sicher sein das man Opfer einer tracking app wurde ??
Hallo Stefan!
In den meisten Fällen ist es so, dass Eltern auf den Handys ihrer Kinder Tracking-Apps installieren, um zu sehen, ob sie sicher von A nach B kommen. Da meistens die Eltern die Mobilfunkverträge abschließen, bedarf es keiner Zustimmung durch die Eltern.
„Opfer“ einer Tracking-App wird man im Grunde nur, wenn man einen eifersüchtigen Partner hat, der Zugriff auf das Handy hat und heimlich eine Tracking-App installiert. Ist das nicht der Fall, kann es nicht passieren, dass auf dem eigenen Handy eine Tracking-App installiert wird.
Viele Grüße
Ihr PC-SPEZIALIST-Team
Hallo. Seit gestern funktioniert mein Smartphone nicht mehr. Ich bekomme die Meldung, dass Android gestartet wird und dann hänge ich in einer Endlosschleife, bis das System dann endlich hochgefahren ist. Text „App 1 von x wird optimiert“. Ich habe kürzlich keine Apps installiert und auch keine Zustimmung zur Aktualisierung einer oder mehrerer Apps gegeben. Kann es sein, dass ein Fremder ohne mein Wissen einer Tracker-App installiert hat, und das, obwohl das Handy aufgrund eines leeren Akkus ausgeschaltet war?
Vielen Dank für eine Antwort.
Mit freundlichen Grüßen,
Erik Fürnkranz
Hallo Erik!
Deine Vermutung hört sich sehr unwahrscheinlich an. Wahrscheinlich ist, dass bei Deinem Handy beim Startvorgang ein Fehler vorliegt. Allerdings lässt sich das nicht genau sagen, solange wir Dein Gerät nicht untersucht haben. Komm zu Deinem PC-SPEZIALIST vor Ort und lass Dir von unseren Technik-Experten helfen.
Viele Grüße
Dein PC-SPEZIALIST Team