Daten per Ultraschall 09.05.2017, 07:48 Uhr

Spionage-Software in 234 Apps für Android-Handys entdeckt

Jetzt versucht die Werbeindustrie, Kunden per Ultraschall auszuspionieren und mit personalisierter Werbung zu ködern. Ingenieure der TU Braunschweig haben in 234 Apps für Android-Handys Spy-Software entdeckt, die Ultraschall für unbemerkte Datenübertragung nutzt. Die Besitzer wissen davon nichts.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Foto: IBM

Dass Smartphone-Nutzer im Einkaufszentrum per Bluetooth Rabatt für eine Jeans angeboten bekommen, wenn sie an der Boutique vorbeigehen, ist nicht ganz neu. Beacons nennt man die Sender und Empfänger, die dann per Bluetooth Daten austauschen. Allerdings muss der Smartphone-User dafür dem Austausch zustimmen und Bluetooth einschalten.

Top Stellenangebote

Zur Jobbörse
Hamamatsu Photonics Deutschland GmbH-Firmenlogo
Vertriebsingenieur (m/w/d) Bereich Spektrometer und Mikroskopie Hamamatsu Photonics Deutschland GmbH
Herrsching am Ammersee Zum Job 
Brüninghoff GmbH & Co.KG-Firmenlogo
Ingenieurin (m/w/divers) als Führungskraft für Arbeitssicherheit / Gesundheitsschutz Brüninghoff GmbH & Co.KG
Quantum-Systems GmbH-Firmenlogo
.Net Software Developer (Munich or Kyiv) (f/m/d) Quantum-Systems GmbH
Gilching, Kiew (Ukraine) Zum Job 
Quantum-Systems GmbH-Firmenlogo
Junior Recruiter (m/f/d) Quantum-Systems GmbH
Gilching Zum Job 
Kromberg & Schubert Automotive GmbH & Co. KG-Firmenlogo
Ingenieur für Funktionale Sicherheit (m/w/d) Kromberg & Schubert Automotive GmbH & Co. KG
Abensberg bei Regensburg Zum Job 
Quantum-Systems GmbH-Firmenlogo
Manager (m/w/d) Export/Zoll & Auftragsabwicklung Quantum-Systems GmbH
Gilching Zum Job 
Rhein-Sieg Netz GmbH-Firmenlogo
Ingenieur (m/w/d) Strategische Netzplanung Rhein-Sieg Netz GmbH
Siegburg Zum Job 
Stadtwerke Hennigsdorf GmbH-Firmenlogo
Wirtschaftsingenieur:in (m/w/d) für die Wärmeversorgung und Erneuerbare Energien Stadtwerke Hennigsdorf GmbH
Hennigsdorf Zum Job 
EMKA Beschlagteile GmbH & Co KG-Firmenlogo
Produktmanager für elektronmechanische Produkte (m/w/d) EMKA Beschlagteile GmbH & Co KG
Wuppertal Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur Planung Bauwerke (w/m/d) Die Autobahn GmbH des Bundes
Brücken (Pfalz), Güstrow Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in (m/w/d) im Risikomanagement im Bereich Energie THOST Projektmanagement GmbH
Berlin, Hannover, Nürnberg Zum Job 
Rhein-Sieg Netz GmbH-Firmenlogo
Ingenieur (m/w/d) Netzbetrieb Rhein-Sieg Netz GmbH
Siegburg Zum Job 
Stadtwerke Wedel GmbH-Firmenlogo
Netzplaner (m/w/d) im Bereich Asset Management Stadtwerke Wedel GmbH
Jacobs-Firmenlogo
Elektroingenieur (m/w/d) Jacobs
München Zum Job 
Jacobs-Firmenlogo
HLK Ingenieur (m/w/d) Jacobs
München Zum Job 
Jacobs-Firmenlogo
Projektsteuerer (m/w/d) Jacobs
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Straßenplanung und Straßenentwurf Die Autobahn GmbH des Bundes
Dillenburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) konstruktiver Ingenieurbau in der Außenstelle Netphen Die Autobahn GmbH des Bundes
Netphen Zum Job 
Präsidium Technik, Logistik, Service Der Polizei Baden-württemberg-Firmenlogo
Ingenieurin / Ingenieur (w/m/d) für den Bereich Funkplanung/-messung Präsidium Technik, Logistik, Service Der Polizei Baden-württemberg
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Straßenplanung und Entwurf Die Autobahn GmbH des Bundes
Dillenburg Zum Job 

Spy-Software in Apps von McDonald’s und Krispy Kreme

Jetzt haben Sicherheitsexperten der TU Braunschweig entdeckt, dass aktuell 234 Apps unbemerkt auch Verbindungen zu anderen Geräten wie Smart-TVs und Beacons per Ultraschall aufbauen, um sensible Daten auszutauschen. Die Software in den betroffenen Apps stammt weit überwiegend vom Unternehmen Silverpush, aber auch von den Konkurrenten Lisnr und Shopkick.

Und das Ganze ist auch kein Randproblem. Denn unter den 234 vornehmlich in Asien angebotenen Apps sind auch die Apps der asiatischen McDonald’s-Filialen und der US-Donuts-Restaurantkette Krispy Kreme. Einzelne der betroffenen Apps sind mehr als fünf Millionen Mal heruntergeladen worden.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Quelle: IBM

„Die Technologie ist nicht neu und in Fachkreisen seit längerem bekannt“, so Prof. Konrad Rieck vom Institut für Systemsicherheit der TU Braunschweig. Und sie verbreitet sich offenbar immer schneller: Im April 2015 fanden die Braunschweiger Forscher die Technik erst in sechs Apps. Ende 2015 waren es schon 39 Apps, jetzt sind 234 Apps betroffen.

Datenaustausch per Ultraschall für Menschen nicht hörbar

Und wie funktioniert die Technik? „Kleine Datensequenzen im Ultraschallbereich zwischen 18 und 20 Kilohertz werden von einer App über das Mikrofon des Smartphones empfangen. Die App sendet dann über das Internet Daten zurück“, erklärt Rieck die Technik. Das bedeutet: Läuft ein Kunde an einem Laden vorbei, der Ultraschall-Beacons, kurz uBeacons, nutzt, reagiert das Smartphone automatisch auf das Signal. Das Smartphone empfängt das Signal über das Mikrofon, ganz automatisch.

Und genau das ist für den Handel interessant, um personalisierte Werbung aufs Display zu schicken. „Bislang wurde diese Technologie von Shopping-Apps genutzt, die dann standortbezogene Rabattangebote auf das Handy geschickt haben. Versteckt in Fernsehwerbung oder Videos können aber auch Daten über Nutzergewohnheiten und Vorlieben abgefischt werden“, so Prof. Rieck.

Spy-Software lässt sich auch in Werbebannern verstecken

Doch auch weitere Datenübertragungen sind denkbar. „Je nachdem, was der Nutzer einer App erlaubt, werden auch zusätzliche Daten übertragen, die zu einem Profil kombiniert werden können.“ Möglich ist es, die Spy-Software sogar in Werbebannern auf Internetseiten zu verstecken. Wie gesagt: Die Ultraschall-Signale sind für den Menschen nicht hörbar, nur für das Smartphone. Ein weiteres Problem: Bei den betroffenen Apps wissen die Nutzer gar nicht, dass die Apps sogenannte uBeacons nutzen.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Quelle: Anne Hage/TU Braunschweig

Ob die Technik schon genutzt wird, ist nur schwer zu ermitteln. Über das Fernsehen wird die Technik offenbar noch nicht genutzt. Die Braunschweiger IT-Forscher haben TV-Programme in sieben Ländern wie den USA, Deutschland, Großbritannien und Indien untersucht, aber keine Auffälligkeiten gefunden.

Prof. Rieck: Vorsicht bei Freischaltung von Rechten

Dennoch rät Prof. Rieck zur Vorsicht. „Grundsätzlich sollte man bei Smartphone-Anwendungen immer prüfen, welche Rechte sie anfordern. Die Aufnahme von Ultraschall-Signalen ist nur möglich, wenn die Anwendung Zugriff auf das Mikrofon bekommt. Hier sollte man als Nutzer kritisch hinterfragen, ob die angeforderten Rechte mit dem eigentlichen Zweck einer Anwendung übereinstimmen“, so der Forscher. „Im Zweifelsfall sollte man eine Anwendung lieber nicht installieren und nach Alternativen suchen.“

Denn auf dem Smartphone lägen einfach zu viele sensible Daten wie Fotos, Termine, Emails und Bewegungsdaten. Rieck. „Diese Informationen lassen sich gut verkaufen und so sollte es einen immer misstrauisch machen, wenn Anwendungen ungewöhnlich viele Rechte benötigen oder andere persönliche Daten aufzeichnen möchten.“

Sie brauchen Tipps für Ihr Android-Smartphone? Hier sind die besten

Und wie Sie Viren auf Ihrem Android-Smartphone wieder loswerden, das erklären wir Ihnen hier.

Ein Beitrag von:

  • Axel Mörer-Funk

    Axel Mörer-Funk ist Gesellschafter der Medienagentur S-Press in Bonn. Nach einem Volontariat beim Bonner Generalanzeiger und dem Besuch der Journalistenschule Hamburg arbeitete er u.a. als freier Journalist für dpa, Bunte und Wirtschaftswoche.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.