Apps auf einem Handy-Display | Bildquelle: dpa

Apps umgehen Datensperren Wenn das Handy trotzdem petzt

Stand: 05.05.2017 20:43 Uhr

Smartphones sammeln jede Menge Daten. Viele Nutzer verhindern zumindest deren Weitergabe durch bestimmte Einstellungen. Allerdings umgehen einige Programme solche Sperren - mithilfe einer Ultraschalltechnik.

Von Wulf Rohwedder, tagesschau.de

Smartphones sind ständige Begleiter vieler Menschen - und sammeln dabei jede Menge Daten über ihre Besitzer: Sie wissen beispielsweise, wo man sich gerade aufhält und wo man vorher gewesen ist, welche Webseiten man aufruft und welche Audios und Videos jemand nutzt. Datenschützer empfehlen, diese Sammelwut durch entsprechende Einstellungen zu begrenzen oder zumindest die Weitergabe solcher Daten an Dritte zu begrenzen, auch wenn dadurch bestimmte Dienste nicht mehr genutzt werden können.

IT-Sicherheitsexperten der TU Braunschweig haben herausgefunden, dass solche Datenschutzvorkehrungen unter bestimmten Umständen nichts nützen. Demnach kann der Standort von Handybesitzern von dritter Seite unbemerkt überwacht werden - selbst dann, wenn die Anwender Lokalisierungsdienste abschalten oder der Weitergabe der Daten aktiv widersprochen haben.

Technik ursprünglich für Werbung entwickelt

Dafür wird eine Technik verwendet, die ursprünglich für gezielte Werbung entwickelt wurde: Das ultrasound cross-device tracking (uXDT, Geräteübergreifende Ultraschall-Überwachung). Wer sich bei Anbietern wie Shopkick anmeldet, lädt eine uXTD -App auf sein Telefon, die Zugriff auf das Mikrofon des Handys erhält. In teilnehmenden Geschäften werden Speziallautsprecher aufgestellt, die einen für das menschliche Ohr nicht hörbaren Code in Ultraschall aussenden. Empfängt das Smartphone einen solchen Code, kann es den Standort an den Anbieter zurücksenden, worauf dieser zum Beispiel spezielle Rabattangebote macht.

Nun muss dieser Code nicht notwendigerweise von einem Teilnehmer erstellt werden, der sich aktiv angemeldet hat. Mit etwas Technikkompetenz können auch Dritte Ultraschall-Sender, sogenannte "Beacons", mit eigenen Signalen aufstellen und so feststellen, welche Smartphone-Nutzer sich wann an diesem Ort aufhalten - sofern die App die entsprechenden Daten weitergibt.

"Viele Menschen können, wenn überhaupt, Frequenzen im Bereich zwischen 18kHz und 20kHz nur schlecht wahrnehmen. Insbesondere wenn die Beacons zusammen mit anderen Audiosignalen wie etwa Musik übertragen werden, ist die Erkennung dieser Signal äußerst schwierig. Die Einbettung der Beacons ist daher verhältnismäßig einfach", so Daniel Arp, einer der Mitautoren der Studie, gegenüber tagesschau.de.

Übers Radio abgespielt

Die Ultraschall-Töne sind sogar unbemerkt in Fernseh- und Radioprogramme, Audio- und Videodateien sowie Streamingangebote integrierbar. Auf diese Weise ist es zum Beispiel möglich festzustellen, dass ein Computer, Tablet oder Fernseher, auf dem gerade eine Serie gestreamt oder eine Audionachricht abgehört wird, der gleichen Person gehört wie das Smartphone, das das versteckte Signal empfängt.

Der Internet-Sicherheitspezialist Vasilios Mavroudis bewies sogar, dass auch Webseiten so manipuliert werden, dass sie beim Aufrufen uXDT-Signale  aussenden. Selbst Verschlüsselungen oder die Nutzung von Proxy- oder TOR-Servern garantieren dann keine Anonymisierung mehr.

Kein perfektes Überwachungsystem

Das Problem ist schon länger bekannt, war aber eher akademischer Natur: Denn damit ein Handynutzer überwacht werden kann, muss der Nutzer aktiv eine App mit integrierter uXDT-Technik vom Anbieter herunterladen und aktivieren. "Die App muss die Berechtigung zur Nutzung des Mikrofons erfragen", so IT-Spezialist Arp. Andernfalls müsste das Berechtigungssystem des Handy-Betriebssystems umgangen werden. "Dies ist jedoch nicht trivial."

Zudem ist das System nicht perfekt: Viele Computer- und Fernsehlautsprecher sind nicht gut genug, um das Ultraschallsignal sauber wiederzugeben, auch sind die Handymikrofone nicht auf Ultraschallfrequenzen optimiert.

Hunderte verdächtige Apps

Nun haben die Braunschweiger Forscher aber allein auf der Android-Plattform 234 Apps entdeckt, die die uXDT-Technik nutzen, darunter scheinbar unverdächtige, millionenfach heruntergeladene Programme großer Anbieter: "Im Rahmen unserer Forschungsarbeit konnten wir die Funktionalität unter anderem in Apps von McDonalds und KrispyKreme für den Philippinischen Markt entdecken. Diese wurden allerdings mittlerweile wieder aus diesen Apps entfernt."

In den meisten Fällen dürften die Anwender nicht wissen, welche Rechte und Daten sie so weitergeben - und an wen: Ob eine App die uXDT-Technik nutzt, können sie nicht feststellen. Experten raten daher, bei allen Apps vorsichtig zu sein, die ohne ersichtlichen Grund Zugriff auf Mikrofon oder Kamera verlangen. "Leider neigen viele Benutzer dazu einer App Berechtigungen zu erteilen, ohne diese zuvor überprüft zu haben", so Arp.

Über dieses Thema berichtete Deutschlandfunk Nova am 08. Mai 2017 um 07:10 Uhr

Darstellung: