AVG und Avast: Android-Virenscanner schnüffeln Nutzer aus

smartphone 17
News

Smartphones und Tablets, sie sind aus unserem hochtechnisierten Lebensalltag nicht mehr wegzudenken. Angesichts der Fülle an Informationen über den Nutzer die diesen kleinen Dingern innewohnen (vom Telefonbuch über den Kalender bis hin zu Informationen über Surfverhalten, Vorlieben und Interessen) wecken unsere „Kleinen Freunde“ immer mehr Begehrlichkeiten Dritter. So scheint heute der wichtigste Garant für ein funktionierendes Business die umfassende Kenntnis des Nutzerverhaltens.

Was liegt da also näher, als sich diese Informationen über den Nutzer selbst und sein Smartphone/Tablet zu besorgen, zumal sich diese ihre Verwendungszweck nach stets durch diverse Netze und Netzwerke bewegen und somit viel anfälliger für Angriffe bzw. Zugriffe sein dürften?

Ein Muss: Verlässlicher Schutz mobiler Endgeräte

Daher ist es wichtig, sich mit der Frage auseinander zu setzen:

„Wie sichere ich mein Smartphone/Tablet so, dass ein Zugriff Dritter auf meine Daten nicht möglich ist?“

Das Mindeste, was hier zu beachten sein dürfte, ist die Installation eines aktuellen und sicheren Antivirenschutzes, welche von vielen Anbietern für alle gängigen Betriebssysteme angeboten werden. Diese Software soll Schadcode erkennen und unschädlich machen und den Anwender so vor dem Zugriff Dritter bewahren.

Freund oder Feind?

Was aber, wenn nicht ein unbefugter Dritter Zugriff nimmt, sondern gerade der eben noch vertrauensvoll ausgewählte Softwareanbieter selbst. Diese es also offensichtlich mit seiner Verpflichtung gegenüber dem Nutzer, dessen Daten und Informationen zu schützen, nicht sonderlich ernst zu nehmen scheint?

Wie nunmehr  Heise in der aktuellen Ausgabe der c’t berichtet, werden insbesondere für Android-basierte Endgeräte Virenscanner diverser Anbieter an den Kunden gebracht, die Informationen über das Nutzerverhalten in erheblichem Umfang an den Anbieter weiter leiten. Hierzu untersuchte Heise insgesamt 6 der derzeit angesagtesten kostenlosen Antiviren-Apps für Android.

Safe-Browsing als Wolf im Schafspelz?

Der Zugriff auf teilweise sensible Nutzerdaten erfolgt nach Erkenntnissen von Heise im Zusammenhang mit der sog. Safe-Browsing-Funktion, bei der beim Besuch potentiell bösartiger Webseiten eine Alarmmeldung erfolgen soll. Um dies zu ermöglichen, wird die URL der aufgerufenen Webseite zuvor bei der Hersteller-Cloud mit den dort als „bösartig“ eingestuften URL abgeglichen.

Wie Heise hierzu ausführt, scheinen einige Apps mehr Informationen zum Anbieter zu übertragen, als eigentlich für diesen Abgleich erforderlich wäre.

So fand Heise heraus, dass

“Die meisten Apps die vollständige URL der aufgerufenen Web-Seite übertragen. Zwei der Testkandidaten, nämlich die Apps von Avast und AVG, machten sogar vor den an die Adresse angehängten URL-Parametern nicht Halt. Diese können vertrauliche Daten wie etwa Passwörter oder Session-IDs enthalten. Die beiden Apps wurden zusammen über 150 Millionen Mal installiert.”

Zusätzlich fand Heise heraus, dass fast alle der untersuchten Virenschutz-Apps die Safe-Browsing-Anfrage – auch beim https – im Klartext übertrügen.

Ein Angreifer kann so darauf schließen, welche Unterseiten und Funktionen man ansteuert. Normalerweise würde er bei HTTPS-Traffic nur erfahren, mit welchem Server man spricht.,

so Heise.

Fazit

Manchmal sitzt der „Feind“ im eigenen Lager!

PS: AVG und Avast teilten auf Nachfrage der ct bereits mit, die aufgefundenen Schwachstellen zeitnah beheben zu wollen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Warum wird der Datenschutz nicht gegen diese offensichtlichen Verstöße aller apps aktiv (??), da ja fast alle wichtigen apps rechtefreigaben anfordern, die sie nichts angehen, wie z.b. Handy-id.nr. oder Kontakte!!?? Noch offensichtlicher geht es beim Thema Datenschutz nirgends!

  2. Es ist skandalös, als Nutzer von Antivirensoftware bis ins Detail privatester Passwörter, Email, Zugängen und Bankdaten von Avast und Anderen Anbietern, ausgespäht zu werden! Mir selbst ist diese Aktivität bei Avast insbesondere für die PC-Anwendung aufgefallen, dabei hatte gerade ich früher nur in Avast Vertrauen gefasst, weil es mir von den Funktionen stets am besten gefiel.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.