Daten per Ultraschall 09.05.2017, 07:48 Uhr

Spionage-Software in 234 Apps für Android-Handys entdeckt

Jetzt versucht die Werbeindustrie, Kunden per Ultraschall auszuspionieren und mit personalisierter Werbung zu ködern. Ingenieure der TU Braunschweig haben in 234 Apps für Android-Handys Spy-Software entdeckt, die Ultraschall für unbemerkte Datenübertragung nutzt. Die Besitzer wissen davon nichts.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Foto: IBM

Dass Smartphone-Nutzer im Einkaufszentrum per Bluetooth Rabatt für eine Jeans angeboten bekommen, wenn sie an der Boutique vorbeigehen, ist nicht ganz neu. Beacons nennt man die Sender und Empfänger, die dann per Bluetooth Daten austauschen. Allerdings muss der Smartphone-User dafür dem Austausch zustimmen und Bluetooth einschalten.

Spy-Software in Apps von McDonald’s und Krispy Kreme

Jetzt haben Sicherheitsexperten der TU Braunschweig entdeckt, dass aktuell 234 Apps unbemerkt auch Verbindungen zu anderen Geräten wie Smart-TVs und Beacons per Ultraschall aufbauen, um sensible Daten auszutauschen. Die Software in den betroffenen Apps stammt weit überwiegend vom Unternehmen Silverpush, aber auch von den Konkurrenten Lisnr und Shopkick.

Und das Ganze ist auch kein Randproblem. Denn unter den 234 vornehmlich in Asien angebotenen Apps sind auch die Apps der asiatischen McDonald’s-Filialen und der US-Donuts-Restaurantkette Krispy Kreme. Einzelne der betroffenen Apps sind mehr als fünf Millionen Mal heruntergeladen worden.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Foto: IBM

„Die Technologie ist nicht neu und in Fachkreisen seit längerem bekannt“, so Prof. Konrad Rieck vom Institut für Systemsicherheit der TU Braunschweig. Und sie verbreitet sich offenbar immer schneller: Im April 2015 fanden die Braunschweiger Forscher die Technik erst in sechs Apps. Ende 2015 waren es schon 39 Apps, jetzt sind 234 Apps betroffen.

Datenaustausch per Ultraschall für Menschen nicht hörbar

Und wie funktioniert die Technik? „Kleine Datensequenzen im Ultraschallbereich zwischen 18 und 20 Kilohertz werden von einer App über das Mikrofon des Smartphones empfangen. Die App sendet dann über das Internet Daten zurück“, erklärt Rieck die Technik. Das bedeutet: Läuft ein Kunde an einem Laden vorbei, der Ultraschall-Beacons, kurz uBeacons, nutzt, reagiert das Smartphone automatisch auf das Signal. Das Smartphone empfängt das Signal über das Mikrofon, ganz automatisch.

Und genau das ist für den Handel interessant, um personalisierte Werbung aufs Display zu schicken. „Bislang wurde diese Technologie von Shopping-Apps genutzt, die dann standortbezogene Rabattangebote auf das Handy geschickt haben. Versteckt in Fernsehwerbung oder Videos können aber auch Daten über Nutzergewohnheiten und Vorlieben abgefischt werden“, so Prof. Rieck.

Spy-Software lässt sich auch in Werbebannern verstecken

Doch auch weitere Datenübertragungen sind denkbar. „Je nachdem, was der Nutzer einer App erlaubt, werden auch zusätzliche Daten übertragen, die zu einem Profil kombiniert werden können.“ Möglich ist es, die Spy-Software sogar in Werbebannern auf Internetseiten zu verstecken. Wie gesagt: Die Ultraschall-Signale sind für den Menschen nicht hörbar, nur für das Smartphone. Ein weiteres Problem: Bei den betroffenen Apps wissen die Nutzer gar nicht, dass die Apps sogenannte uBeacons nutzen.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Foto: Anne Hage/TU Braunschweig

Ob die Technik schon genutzt wird, ist nur schwer zu ermitteln. Über das Fernsehen wird die Technik offenbar noch nicht genutzt. Die Braunschweiger IT-Forscher haben TV-Programme in sieben Ländern wie den USA, Deutschland, Großbritannien und Indien untersucht, aber keine Auffälligkeiten gefunden.

Prof. Rieck: Vorsicht bei Freischaltung von Rechten

Dennoch rät Prof. Rieck zur Vorsicht. „Grundsätzlich sollte man bei Smartphone-Anwendungen immer prüfen, welche Rechte sie anfordern. Die Aufnahme von Ultraschall-Signalen ist nur möglich, wenn die Anwendung Zugriff auf das Mikrofon bekommt. Hier sollte man als Nutzer kritisch hinterfragen, ob die angeforderten Rechte mit dem eigentlichen Zweck einer Anwendung übereinstimmen“, so der Forscher. „Im Zweifelsfall sollte man eine Anwendung lieber nicht installieren und nach Alternativen suchen.“

Denn auf dem Smartphone lägen einfach zu viele sensible Daten wie Fotos, Termine, Emails und Bewegungsdaten. Rieck. „Diese Informationen lassen sich gut verkaufen und so sollte es einen immer misstrauisch machen, wenn Anwendungen ungewöhnlich viele Rechte benötigen oder andere persönliche Daten aufzeichnen möchten.“

Sie brauchen Tipps für Ihr Android-Smartphone? Hier sind die besten

Und wie Sie Viren auf Ihrem Android-Smartphone wieder loswerden, das erklären wir Ihnen hier.

Top Stellenangebote

DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG-Firmenlogo
DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG Projektbearbeiter (m/w) Stadtentwicklung Bielefeld
WACKER-Firmenlogo
WACKER Ingenieur (w/m) für das Bauwesen mit dem Schwerpunkt Hochbau / Konstruktiver Ingenieurbau Burghausen
Kistler Instrumente GmbH-Firmenlogo
Kistler Instrumente GmbH Key Account Manager (m/w) Qualitätsüberwachung im Bereich Automotive Manufacturing Sindelfingen, Home-Office
Cargill GmbH-Firmenlogo
Cargill GmbH Project & Process Engineering Manager (m/f) Hamburg-Harburg
THOST Projektmanagement GmbH-Firmenlogo
THOST Projektmanagement GmbH Scheduler / Project Planner (m/f) Stockholm, Västerås (Schweden)
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Planer/innen für ITK-Netzwerktechnik München
Giesecke + Devrient Currency Technology GmbH-Firmenlogo
Giesecke + Devrient Currency Technology GmbH Diplom-Ingenieur / Bachelor / Master für Maschinenbau (m/w) Leipzig
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Mitarbeiter/innen für Energiemanagement und Anlagenoptimierung in städtischen Gebäuden München
Peek & Cloppenburg KG-Firmenlogo
Peek & Cloppenburg KG Projektleiter (M/W) Facility Management Baubereich Düsseldorf
Schweizer Electronic AG-Firmenlogo
Schweizer Electronic AG Qualitätsingenieur (m/w) Schwerpunkt Messtechnik-Leistungselektronik Schramberg