Spionage-Apps auf der Spur 25.02.2014, 08:51 Uhr

Software Chabada kommt Spionage-Apps auf die Spur

Apps sind nicht nur hilfreiche Programme. Sie können das eigene Smartphone oder das Tablet ausspionieren. Warum muss eine Taschenlampen-App Zugriff auf die Adressdaten haben, bevor sie leuchtet? Welche Apps sind eher Spionage-Software als hilfreich? Diese Frage beantwortet jetzt eine Software der Uni des Saarlandes.

Es gibt Apps im App-Store Google Play, die ungefragt Mobilfunk- und andere Benutzerdaten an unbekannte Server schicken. Die Universität des Saarlandes hat eine Software entwickelt, die Apps automatisch auf Spionagefunktionen untersucht.

Es gibt Apps im App-Store Google Play, die ungefragt Mobilfunk- und andere Benutzerdaten an unbekannte Server schicken. Die Universität des Saarlandes hat eine Software entwickelt, die Apps automatisch auf Spionagefunktionen untersucht.

Foto: Google Play/Screenshot ingnieur.de

Um diese Spione in der Hosentasche frühzeitig als solche zu erkennen, haben Saarbrücker Informatiker die Miniprogramme jetzt in Massen automatisch getestet. Dafür haben sie das echte Verhalten mit der veröffentlichten Funktionsbeschreibung der jeweiligen App verglichen. Dieses Verfahren konnten die Saarbrücker Forscher an über 22.000 Apps des Google-App-Shops Google Play testen. Bei dem amerikanischen Suchmaschinenkonzern stößt das neuartige Verfahren auf recht großes Interesse.    

Andreas Zeller, Professor für Softwaretechnik an der Universität des Saarlandes, fragte sich: „Woher weiß ich, dass eine neu installierte App genau das auf meinem Smartphone tut, was in der Beschreibung steht?“. Bisher habe man „bösartige“ Apps entlarvt, indem man sie mit schon bekannten Angriffsmustern verglich. „Was aber, wenn der Angriff ganz neu ist?“, so Zeller.

All diese Fragen beantwortet seine Forschergruppe mit Hilfe ihres neuartigen Verfahrens. „Apps, die im App Store ähnlich beschrieben sind, sollten sich auch ähnlich verhalten. Ist das nicht der Fall, so ist die aus dem Rahmen fallende App verdächtig “, erklärt Zeller die Kernidee des von ihnen entwickelten Analyseprogramms mit dem Namen Chabada.

Chabada vergleicht das Verhalten von Apps mit ihrer Beschreibung

Die an seinem Lehrstuhl entwickelte Software Chabada analysiert für jede App den Text, der ihre Funktionen beschreibt. Nach Methoden der Sprachverarbeitung werden alle Apps zusammengefasst, deren Beschreibung ähnliche Themen enthält. So haben die Saarbrücker alle Apps überprüft, die sich mit Reisethemen beschäftigen.

Durch Analyse der App ermittelt Chabada, auf welche Android-Dienste die einzelnen Apps zugreifen. So fragen etwa Reise-Apps normalerweise die aktuelle Position ab, um dann aus dem Internet Karten nachladen zukönnen. Eine Reise-App, die heimlich Textnachrichten versendet, macht sich deshalb sofort verdächtig.

Vorsicht UNO: Eine App mit dem Kartenspiel „Uno“ kann den aktuellen Benutzerstandort abfragen. 

Vorsicht UNO: Eine App mit dem Kartenspiel „Uno“ kann den aktuellen Benutzerstandort abfragen. 

Foto: Google Play/Screenshot ingenieur.de

Erster Test mit über 22.000 Apps

Auf diese Art und Weise untersuchten die Forscher insgesamt 22.521 Apps. Mit einem eigens dafür entwickelten Skript hatten sie im Frühling und Winter des letzten Jahres regelmäßig die jeweils 150 beliebtesten Apps aus den 30 Kategorien des App-Stores Google Play heruntergeladen.

Diese Top-Apps wurden dann durch Chabada analysiert. Die 160 eindeutigsten Abweichler vom Normalverhalten ähnlicher Apps untersuchten die Saarbrücker Informatiker dann genauer und stellten dabei fest, dass Chabada 56 Prozent der vorhandenen Spionage-Apps erkannt hatte, ohne vorher deren Verhaltensmuster zu kennen.

Beispiele für Apps mit „Zusatzfunktionen“

Es fanden sich unter den überprüften Apps etliche, die ungefragt Mobilfunk- und andere Benutzerdaten an unbekannte Server schickten wie beispielsweise die App „London Restaurants“. Diese App wurde inzwischen aus dem Google-Store entfernt. Eine App mit dem Kartenspiel „Uno“ kann den aktuellen Benutzerstandort abfragen. Hier muss man sich natürlich fragen, wofür ein Kartenspiel den Aufenthaltsort des Spielers kennen muss. Auch diese App ist jetzt nicht mehr im Store zu finden.

Eine App zum Musical „Wicked“ ist sogar in der Lage, das Mikrofon des Mobilgerätes abzufragen. Doch wohl kaum, um dem Nutzer zu bestätigen, dass der Herausgeber immer ein offenes Ohr für ihn hat. Diese App ist sogar bis heute in Googles Play Store verfügbar.

Vom Handy-Spiel Flappy Bird sind viele mit Malware verseucht und verschicken ungefragt SMS mit persönlichen Daten.

Vom Handy-Spiel Flappy Bird sind viele mit Malware verseucht und verschicken ungefragt SMS mit persönlichen Daten.

Foto: Google Play/Screenshot ingenieur.de

Programmcode kann jederzeit aktiviert werden

All diese Apps verlangen beim Installieren nicht nur entsprechende Rechte. Sie enthalten nach Angaben von Professor Zeller auch einen Programmcode, der auf die entsprechenden Dienste zugreift – ein Code, der jederzeit aktiviert werden kann.

Ein besonders aktuelles Beispiel ist die große Zahl von Klonen des bis vor kurzem meistgeladenen und dann zurückgezogenen Handy-Spiels Flappy Bird, von denen viele mit Malware verseucht sind, die etwa ungefragt SMS versendet. Chabada würde jede einzelne dieser „bösen“ Apps als Anomalie erkennen – einfach, weil die Kategorie von Spielen, unter die Flappy Bird fällt, keine SMS verschicken.

Chabada soll gesamten App-Store Google Play überprüfen

Ihren neuartigen Ansatz dürfen die Saarbrücker Informatiker nun Ende Mai auf der renommierten International Conference on Software Engineering im indischen Hyderabad vorstellen. Der Softwarekonzern Google hat Professor Zeller und sein Forscherteam bereits eingeladen, um Chabada jetzt auf den gesamten Google Play Store loszulassen. 

Top Stellenangebote

Infineon Technologies AG-Firmenlogo
Infineon Technologies AG Berechnungsingenieur FEM - Strukturmechanik und Thermik (w/m) Warstein
Landeshauptstadt München Ingenieur/in der Fachrichtung Versorgungstechnik / Gebäudetechnik München
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Director Supplier Quality Management EMEA (m/w) Bad Homburg
Bayernhafen GmbH & Co. KG-Firmenlogo
Bayernhafen GmbH & Co. KG Bauingenieur (m/w) Schwerpunkt Bahnbau / Tiefbau Regensburg
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Maschinenbau (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Verfahrenstechnik (m/w) St. Wendel
Fresenius Medical Care Deutschland GmbH-Firmenlogo
Fresenius Medical Care Deutschland GmbH Projektingenieur Elektrotechnik (m/w) St. Wendel
Heraeus-Firmenlogo
Heraeus Global Engineering Coordinator (m/w) Kleinostheim
P&A Diplom-Ingenieur (Bau) / Master für Statik/Konstruktion (m/w) Eisenach, Hörselberg-Hainich, Gerstungen, Gotha, Mühlhausen
VISHAY ELECTRONIC GmbH-Firmenlogo
VISHAY ELECTRONIC GmbH Product Marketing Engineer (m/w) Landshut, Selb