Risiko: was mobile Spiele Apps heimlich noch so machen

Wir ahnen es ohne es –bisher- konkret erfahren zu haben: Manche Spiele auf dem Handy sind nicht nur zu unserer Unterhaltung da, sondern verfolgen noch „weitergehende“, potenziell heimliche Ziele. Gerade bei Free-Games hat sich wohl jeder schon gefragt, wie da eigentlich der Business Case aufgeht, was dem Entwicklungs- und Pflege-Aufwand an Einnahmen wohl gegenübersteht.

Vor einiger Zeit berichtete nun Veracode auf ihrem Blog von Untersuchungen in den USA zu dem Thema – und da war man zumindest in Teilen fündig geworden.

In dem Blog sind die Findings als Infografik aufbereitet – aus meiner Sicht ein gutes Beispiel für einen völlig ungeeigneten Einsatz. Die Zeit für die Bildchen hätte man gut in etwas mehr Recherche oder ausführlichere Case-Dokumentation stecken können. Immerhin – einige Fakten sind auch so schon interessant.

Veracode hat Folgendes recherchiert:

  • In 2011 wurden über 25 Milliarden Spiele Apps für google Play und IOS downgeloaded
  • In 2011 wurde die millionste mobile App vorgestellt
  • Für Angreifer und Ausspionierer bieten sich formal 4 „Einstiegsfenster“ für einen ungewünschten Zugriff auf das mobile Endgerät:
    • Die Anwendungs-Schicht; das ist das eigentliche Thema, welcher bösartige Code wird da installiert?
    • Die Hardware Schicht: Speicher-Fehler des Geräts werden ausgenutzt, um Kontrolle zu erlangen
    • Die Netzwerk Schicht: auf dem Übertragungsweg können alle Daten abgefangen werden (WiFi, 3G, Edge)
    • Die Betriebssystem Schicht: jailbreaks nutzen Schwächen im Betriebssystem (IOS, Android), um das OS zu kontrollieren

Beispiele für potenziell bösartigen oder zumindest fahrlässigen Code hat man bereits gefunden.

  • Eine Fake Version von Instagramm installierte Malware auf den mobilen Endgeräten
  • Das US-Social-Network „Path“ speicherte eine Zeitlang ohne Genehmigung die Kontaktlisten der Mitglieder
  • In knapp 300 Spiele Apps aus der Google Play Welt fand man sogenannte aggressive „ad libraries„. Sie können Code remote laufen lassen und so Dinge ausspionieren wie Standort, Telefonnummern, Anruf-Log oder das App-Verzeichnis des Endgeräts.

Es gibt in den USA erste öffentliche Reaktionen auf diese Verletzungen des Datenschutzes. In 13 Klagen werden div. Unternehmen, darunter auch Facebook, Instagramm, Foursquare beschuldigt, mit den ihnen zugänglichen Daten fahrlässig, heimlich und darum potenziell mit betrügerischer Absicht umzugehen

Allerdings: Veracode ist kein Fall bekannt in dem ein konkreter Missbrauch der Daten erfolgte, also ein Schaden entstand.

Mein Fazit: Es ist zur Zeit noch die Gefahr des Betrugs und der Manipulation, die Möglichkeit, das Risiko und nicht der Missbrauch selbst, der uns Sorgen macht. Aber wir wissen auch: wenn irgendwo eine Stange Dynamit rum liegt, dann ist es nur eine Frage der Zeit, bis jemand sie anzündet.

Hinterlasse einen Kommentar