Die Anzahl der Programme im Android Market nimmt täglich zu. Nach Statistiken der App-Plattform AndroLib stehen dort bereits mehr als 330.000 Apps zum Download bereit, davon zwei Drittel kostenlos. Ob Google Maps, Facebook-App oder Angry Birds: Zweimal auf den Touch-screen getippt, schon wird die neue App auf dem Smartphone installiert.

Das ist wunderbar einfach, kann jedoch schwerwiegende Folgen haben. Denn mit dem zweiten Antippen erteilt ein User der App, die installiert werden soll, verschiedene Berechtigungen für den Zugriff auf Funktionen seines Telefons. In der Regel sind diese nötig, damit eine App ordnungsgemäß arbeiten kann. Eine Navigationssoftware braucht etwa den Zugriff auf den GPS-Empfänger, um den Standort des Geräts zu bestimmen. Die Berechtigung für den Internetzugriff dient häufig für Werbeeinblendungen, durch die immer mehr Gratisspiele finanziert werden.

Bedenklich wird es, wenn eine App den Zugriff auf Benutzerdaten verlangt. Das reicht von der verwendeten Rufnummer bei Telefonaten über Kontakt-, Kalender- und SMS-Daten bis zum gesamten Speicherinhalt einer SD-Karte. Firmen, Entwickler und Cyberkriminelle, die Apps mit solchen Berechtigungen anbieten, können damit leicht umfangreiche Daten sammeln.

André Schmidt, Android-Entwickler des Bremer Dienstleisters Enough Software, erklärt: „Durch eine App mit der Berechtigung, Kontaktdaten auszulesen, kann ein Unternehmen auf Daten wie Name, Telefonnummer und Adresse aller Kontakte auf dem Smartphone zugreifen.“ Verfügt eine solche App zudem über die Berechtigung für den Internetzugriff, können die gesammelten Informationen – vom User unbemerkt – an einen Server im Netz verschickt werden. Insbesondere vor der Kombination solcher Berechtigungen warnt der Spezialist Ralf Benzmüller, Leiter der G Data SecurityLabs: „Der Anwender kann hier nicht kontrollieren, ob und wohin eine Applikation im Hintergrund Daten versendet.“

Tatsächlich werden solche Apps immer häufiger auf verschiedenen Software-Plattformen im Internet gefunden. Zuletzt hatte im Juli 2011 eine Forschungsgruppe der North Carolina State University (NCSU) gleich fünf Apps im offiziellen Android Market entdeckt, die nach ihrer Installation selbstständig Informationen zu E-Mail-Konten und Telefonnummern im Web verschickten. Eines der Gruppenmitglieder gab an, Google am sechsten Juli über die spionierenden Apps informiert zu haben. Danach habe es immerhin acht Tage gedauert, bis diese aus dem Market entfernt wurden. Wie viele Personen sie bis dahin heruntergeladen hatten, ist ungewiss.

Erstaunlich viele Apps fordern fragwürdige Berechtigungen an. Und ein großer Teil davon missbraucht die erteilten Privilegien, um Eigentümerdaten unbemerkt zu versenden. Das zeigen Studienergebnisse von Dasient: Der US-amerikanische Sicherheitsanbieter hatte eine Stichprobe von 10.000 Apps aus dem Android Market untersucht. Ganze 842 dieser Applikationen, also mehr als acht Prozent, versendeten Daten eines Smartphones im Hintergrund an Remote-Server im Web. Übertragen wurden dabei in erster Linie die als IMEI (International Mobile Equipment Identity) und IMSI (International Mobile Subscriber Identity) bezeichneten jeweils 15-stelligen Nummern, die der Identifikation des Telefons sowie der SIM-Karte im Mobilfunknetz dienen.

Einen zwingenden Grund für die Abfrage dieser Nummern gibt es nach Auskünften von Software-Entwicklern nicht. Wer will, dass seine privaten Daten privat bleiben, sollte angeforderte Berechtigungen also genau prüfen. Wenn diese einmal erteilt sind, ist das laut Ralf Benzmüller von G Data „ein Freifahrtschein für die App“.

Besonders dann, wenn Apps den Zugriff auf kostenpflichtige Dienste verlangen, solle man genau hingucken. Damit könnten diese nämlich Telefonate initiieren oder Kurznachrichten an Premiumdienste versenden, ohne dass der Smartphone-Besitzer etwas merkt. Wie teuer dieser Schabernack war, zeigt spätestens die Telefonrechnung.

Benzmüller schildert einen Fall, der sich im Mai 2011 ereignete und in erster Linie den chinesischen Markt betraf: „Die manipulierte App ‚Zsone‘ sendete unbemerkt Abo-Anmeldungen zu chinesischen Premium-SMS-Anbietern und fing die Anmeldebestätigung ab. Nur über die Abrechnung konnten die Nutzer den Betrug feststellen.“ Die verseuchte App wurde nach ihrer Entdeckung aus dem offiziellen Market entfernt; Varianten kursierten jedoch laut F-Secure, einem Anbieter von Sicherheitslösungen, noch eine ganze Weile auf verschiedenen Plattformen.

Nur einen Monat später meldete die Forschungsgruppe der NCSU eine weitere Schadsoftware im Android Market, die dort bereits drei Monate ihr Unwesen trieb. In der App steckte der fiese Smartphone-Trojaner YZHCSMS, der dank erteilter SMS-Berechtigung alle 50 Minuten eine Kurznachricht an Premiumdienste verschickte. Um nicht entdeckt zu werden, entfernte die App von ihr versendete Nachrichten aus dem SMS-Speicher und versuchte sogar, eingehende Telefonrechnungen zu löschen.

Um sich selbst vor solchen Gefahren zu schützen, empfiehlt es sich, vor der Installation jeder App zu hinterfragen, ob die angeforderten Berechtigungen überhaupt für die Funktion der Software nötig sind. Ralf Benzmüller rät: „Wenn eine Applikation kritische Rechte anfordert, die zur Ausführung offensichtlich nicht gebraucht werden, könnte eine Suche im Internet aufschlussreich sein.“

Gleiches gilt auch bei Software-Updates. Es kommt häufig vor, dass eine bereits installierte App bei einem Update neue Berechtigungen anfordert. So geschehen bei der kostenlosen Variante von Rovios Angry Birds, die im Februar 2011 mit dem Update auf Version 1.5.1 Zugriff auf die SMS-Funktion des Smartphones verlangte, worauf viele Nutzer mit Unverständnis reagierten und ablehnten. Nach einiger Aufregung erklärte Anbieter Rovio, dass er SMS künftig für Bezahlvorgänge im Rahmen des eigenen Bezahlsystems „Bad Piggy Bank“ verwenden wolle. Vermutlich aus Rücksicht auf die User veröffentlichte Rovio einen Tag später ein neues Angry-Birds-Update, bei dem diese SMS-Freigabe entfiel.

Insbesondere an populären Apps wie Angry Birds oder auch der Facebook-App, die seit einem Update im September SMS-Zugriff verlangt, scheiden sich bei den Usern die Geister. Viele Smartphone-Besitzer meinen, dass weitverbreitete Apps kaum Schindluder mit Daten oder kostenpflichtigen Diensten ihrer Kunden treiben werden. Ob man einem App-Anbieter allein aus Gründen der Popularität vertrauen kann oder nicht, muss letztlich jeder selbst entscheiden.

Bevor sie den Zugriff auf persönliche Daten, Telefonie und SMS erlauben, sollten sich Nutzer allerdings bewusst machen, dass Entwicklerkonten, die für das Hochladen einer App in den Android Market nötig sind, gehackt werden können. Allein in diesem Jahr gab es bereits eine Reihe solcher Vorfälle, bei denen Hacker über die Konten echter App-Anbieter gefälschte Apps veröffentlichten. Die Pseudo-Apps fragten kritische Berechtigungen an und übertrugen bei der Installation Trojaner und andere Schädlinge auf die Smartphones ihrer Besitzer, mit denen sie anschließend die Nutzerdaten ausspionierten.

Der Sicherheitsexperte Ralf Benzmüller empfiehlt, auch bei bekannten und beliebten Apps vorsichtig zu bleiben. „Im Zweifelsfall“, sagt er, „sollte man von der Installation absehen, auch bei beliebten Anwendungen.“ Man darf schließlich auch mal Nein sagen!

Um den Überblick über erteilte Berechtigungen zu behalten, gibt es eine Reihe von Apps im Market. User mit Root-Rechten können installierten Applikationen damit sogar einzelne Rechte entziehen. Fachleute raten jedoch davon ab, selbst an erteilten Berechtigungen herumzupfuschen, da Apps dadurch instabil werden und Systemabstürze auslösen können.

Mit Ausnahme der Software von G Data sind alle vorgestellten Apps nur in englischer Sprache oder Teilübersetzung verfügbar.