Auf Schritt und Tritt: diese Apps verfolgen Ihren Standort

Mobile Apps können Ihren Standort tracken und die Daten dann an Drittparteien weiterverkaufen. Das können Sie dagegen tun!

Einige der beliebtesten Handy-Apps verfolgen nicht nur Ihren Standort, sondern geben diesen auch noch an Drittanbieterdienste weiter, die mit wertvollen Daten wie diesen dann viel Geld machen. Mit Sicherheit verwenden auch Sie mindestens eine solcher Apps, ohne es zu wissen. Wie Sie herausfinden, welche Apps Ihnen in Zukunft Probleme bereiten könnten und was Sie dagegen tun können, erfahren Sie in diesem Beitrag.

Auf Schritt und Tritt: diese Apps verfolgen Ihren Standort

Als Costin Raiu, Direktor des GReAT-Teams von Kaspersky, während der COVID-19-Pandemie auf eine interaktive Karte mit den genauen Bewegungsdaten von Studenten stieß, deren Mobilgeräte ursprünglich an nur einem einzigen Strand in Florida zusammengetragen und dann über das gesamte Land hinweg verfolgt wurden, galt sein erster Gedanke nicht der Verbreitung des Coronavirus, sondern mobilen Apps, die Nutzerstandorte tracken. Für die Umsetzung dieser Veranschaulichung wurden Informationen verwendet, zu denen unter anderem auch X-Mode-Standortdaten gehörten. Aber wie kommt X-Mode überhaupt an diese Daten?

X-Mode vertreibt SDKs (eine Komponente, die Entwickler in ihre Apps einbetten können) und belohnt die Entwickler für die Integration dieser SDKs, basierend auf der Anzahl der regulären App-Benutzer, mit einer monatlichen Vergütung. Im Gegenzug sammelt das SDK Standortdaten sowie einige Daten verschiedener Smartphone-Sensoren, unter anderem dem Gyroskop, und sendet diese an unterschiedliche X-Mode-Server. Im Anschluss verkauft X-Mode die angeblich anonymisierten Daten an jeden, der an ihnen interessiert ist.

X-Mode behauptet, dass das SDK keinen großen Einfluss auf die Akkulaufzeit des Nutzer-Smartphones hat und nur rund 1 bis 3 Prozent der Akkuladung in Anspruch nimmt, sodass Benutzer das SDK im Bestfall nicht einmal bemerken und sich somit auch nicht dadurch belästigt fühlen. Laut X-Mode ist das Sammeln von Daten auf diese Weise „vollkommen legal“ und das SDK – angeblich – DSGVO-konform.

Wie viele dieser Tracking-Apps gibt es?

Im Folgeschluss machte sich Raiu darüber Gedanken, ob auch er über die zuvor beschriebene Methode geortet und virtuell verfolgt worden war. Der wohl einfachste Weg, dies herauszufinden, bestand darin, die Adressen der Command-and-Control-Server zu identifizieren, die von den Tracking-SDKs verwendet wurden, sowie den von seinem Gerät ausgehenden Netzwerktraffic genau zu überwachen. Wenn eine App auf seinem Smartphone mit mindestens einem solchen Server kommunizierte, würde dies bedeuten, dass ihm tatsächlich eine Ortungs-App auf den Schlichen war. Um seine Analyse zufriedenstellend zu beenden, musste er nur noch die Adressen der jeweiligen Server ausfindig machen. Die Ergebnisse der Untersuchung wurden übrigens zur Grundlage seines diesjährigen Vortrags auf unserer SAS@home-Konferenz.

Nach einigem Reverse Engineering, angestellten Vermutungen, Entschlüsselungen und einer ausgiebigen Recherche wurde Raiu fündig – und schrieb daraufhin einen Teil-Code, mit dem er erkennen konnte, ob eine App versuchte, auf die jeweiligen Server zuzugreifen. Grundsätzlich stellte er fest, dass Apps mit einer bestimmten Codezeile das Tracking-SDK verwendeten.

Insgesamt hat Raiu mehr als 240 verschiedene Apps, die bislang über 500 Millionen Mal installiert wurden, mit dem eingebetteten SDK gefunden. Wenn wir davon ausgehen, dass der durchschnittliche Benutzer nur eine solcher Apps installiert hat, bedeutet dies, dass weltweit etwa 1 von 16 Personen eine solche Tracking-App auf ihrem Gerät installiert hat. Die Wahrscheinlichkeit, dass Sie einer dieser Nutzer sind, liegt also bei 1/16.

Hinzu kommt, dass X-Mode nur eines von Dutzenden Unternehmen in dieser Branche ist.

Darüber hinaus kann jede App mehr als nur ein SDK enthalten. Während Raiu beispielsweise einer App mit dem fraglichen X-Mode SDK auf der Spur war, entdeckte er fünf weitere Komponenten anderer Unternehmen, die ebenfalls Standortdaten sammelten. Offensichtlich hat der Entwickler versucht, so viel Geld wie möglich mit der App zu machen – obwohl es sich hierbei obendrein um eine zahlungspflichtige Anwendung handelte. Fazit: Nur, weil eine App zahlungspflichtig ist, bedeutet das nicht, dass ihre Entwickler nicht auf weiteren Profit aus sind.

So können Sie Tracking verhindern

Das Problem dieser Tracking-SDKs besteht darin, dass Sie beim Download einer App nicht wissen können, ob sie eine solche Trackingkomponente enthält oder nicht. Möglicherweise hat die Anwendung sogar einen berechtigten Grund, nach Ihrem Standort zu fragen. Viele Apps sind auf den Standort der Nutzer angewiesen, um ordnungsgemäß zu funktionieren. Aber selbst eine scheinbar, in diesem Aspekt, „legitime“ App kann Ihre Standortdaten im Anschluss weiterverkaufen.

Um technikaffinen Nutzern zu helfen, die Wahrscheinlichkeit eines solchen Trackings zu minimieren, hat Raiu eine Liste aller C&C-Server erstellt, die von Tracking-SDKs verwendet werden. Die Liste können Sie auf seiner persönlichen GitHub-Seite einsehen. Zudem kann ein RaspberryPi-Computer mit installierter Pi-Hole- und WireGuard-Software dabei helfen, den Datenverkehr in Ihrem Heimnetzwerk zu überwachen und die Apps, die versuchen, fragliche Server zu kontaktieren, an den Pranger zu stellen.

Alle, die nicht ganz so technikversiert sind, können die Wahrscheinlich von Anwendungen und Diensten verfolgt zu werden, reduzieren, indem Sie die Berechtigungen von Apps einschränken.

  • Überprüfen Sie, welche Apps auf Ihren Standort zugreifen können. Wie das funktioniert, erfahren Android-8-Nutzer in diesem Beitrag. (Anmerkung: Auch spätere Android-Versionen unterscheiden sich diesbezüglich nicht wesentlich.) Unter iOS können Sie die Standortverfolgung folgendermaßen einschränken. Wenn Sie der Meinung sind, dass eine App ohne Grund auf Ihren Standort zugreift, zögern Sie nicht, die jeweilige Berechtigung zu widerrufen.
  • Geben Sie Apps nur dann Zugriff auf Ihren Standort, wenn diese auch tatsächlich aktiv sind. Viele Anwendungen müssen nicht darauf zugreifen, wenn sie im Hintergrund ausgeführt werden.
  • Löschen Sie Apps, die Sie nicht mehr verwenden. Wenn Sie eine App seit Monaten nicht mehr geöffnet haben, sollten Sie diese womöglich von Ihrem Smartphone verbannen.
  • Denken Sie daran, dass es weitaus schlimmere Dinge gibt, die sich (auch in legitimen Apps) verstecken als Trackingkomponenten. Einige Anwendungen sind von Grund auf bösartig, andere wiederum nehmen Ihren schädlichen Charakter erst nach einem Weiterverkauf oder einem simplen Update an. Deshalb legen wir Ihnen den Einsatz einer robusten Sicherheitslösung wie Kaspersky Internet Security for Android ans Herz, die Sie vor jeglichen mobilen Bedrohungen schützt.
Tipps