7. Mai 2017 | Magazin:

Smartphone Apps: Datenschnüffeln mit Ultraschall Drei Fragen an IT-Sicherheitsexperten Professor Konrad Rieck

Mehr als 230 Applikationen für den südasiatischen Markt können ihre Nutzer austricksen und Sicherheitseinstellungen umgehen. Ein Forschungsteam vom Institut für Systemsicherheit der TU Braunschweig hat die Technologie untersucht und die Ergebnisse Ende April auf dem IEEE European Symposium on Security and Privacy in Paris vorgestellt. Was hinter der Technologie steckt und welche Folgen es für Nutzung von Smartphones hat, beantwortet Professor Konrad Rieck.

Herr Professor Rieck, Ihr Team hat untersucht, wie Smartphone-Applikationen Sicherheitseinstellungen umgehen können und beispielsweise Standortdaten übermitteln. Wie funktioniert die Technologie?

Prof. Dr. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig. Bildnachweis: Anne Hage/TU Braunschweig

Prof. Dr. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig. Bildnachweis: Anne Hage/TU Braunschweig

Die Technologie ist nicht neu und ist in Fachkreisen seit Längerem bekannt. Kleine Datensequenzen im Ultraschallbereich zwischen 18 und 20 Kilohertz werden von einer App über das Mikrofon des Smartphones empfangen. Die App sendet dann über das Internet Daten zurück. Auf diese Weise kann man beispielsweise den Standort bestimmen. Bislang wurde diese Technologie von Shopping-Apps genutzt, die dann standortbezogene Rabattangebote auf das Handy geschickt haben. Versteckt in Fernsehwerbung oder Videos können aber auch Daten über Nutzergewohnheiten und Vorlieben abgefischt werden. Je nachdem, was der Nutzer einer App erlaubt, werden auch zusätzliche Daten übertragen, die zu einem Profil kombiniert werden können.

Wer ist betroffen und wie kann man sich davor schützen?

Wir haben im letzten Jahr über 230 Android-Anwendungen für den südasiatischen Markt entdeckt, die heimlich nach Ultraschall-Signalen lauschen. Ob und wo diese Signale ausgestrahlt wurden, lässt sich nur schwer ermitteln. In unserer Studie konnten wir keine verdächtigen Ultraschall-Signale in Fernsehsendungen aus sieben Ländern, darunter auch Deutschland, finden. Das Unternehmen hinter der Technologie, SilverPush, hat sich inzwischen zurückgezogen, so dass vermutlich keine Gefahr von den entdeckten Anwendungen mehr ausgeht.

Grundsätzlich sollte man bei Smartphone-Anwendungen immer prüfen, welche Rechte sie anfordern. Die Aufnahme von Ultraschall-Signalen ist nur möglich, wenn die Anwendung Zugriff auf das Mikrofon bekommt. Hier sollte man als Nutzer kritisch hinterfragen, ob die angeforderten Rechte mit dem eigentlichen Zweck einer Anwendung übereinstimmen. Im Zweifelsfall sollte man eine Anwendung lieber nicht installieren und nach Alternativen suchen.

Es hat lang gedauert, bis das Problem die breite Öffentlichkeit erreicht hat. Welche „U-Boote“ schlummern noch in unseren Smartphones?

Vermutlich schlummert noch eine ganze Reihe von Datenschutzproblemen in unseren Smartphones. Es befinden sich viele persönliche Daten auf diesen Geräten, wie Fotos, Termine, Emails und Bewegungsdaten, die nicht in falsche Hände gelangen sollten. Diese Informationen lassen sich gut verkaufen und so sollte es einen immer misstrauisch machen, wenn Anwendungen ungewöhnlich viele Rechte benötigen oder andere persönliche Daten aufzeichnen möchten. Eine gesunde Portion Skepsis kann im digitalen Zeitalter nicht schaden.