Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
3 Min Lesezeit 20 mal geteilt 13 Kommentare

Clueful: Wie sicher ist Dein Smartphone?

Der App-Markt boomt und jeden Tag kommen neue Anwendungen in den Google Play Store. Einige Apps können erheblichen Schaden anrichten und Eure Daten ungefragt weitergeben. Ein wichtiger Indikator dafür sind die Berechtigungen, die Google vor jeder Installation einblendet - wer aber zu faul zum Lesen ist, kann sich über die Sicherheit seiner App-Sammlung mit Clueful von Bitdefender aufklären lassen.

clueful
© Google Play Store

Wer viele Apps nutzt und immer auf der Jagd nach Neuheiten ist, hat schnell auf den “Installieren”-Button gedrückt ohne vorher die lange Liste mit Berechtigungen zu überprüfen. Clueful analysiert alle installierten Apps im Hinblick darauf und zeigt ihre Schwachpunkte, beispielsweise dass der Barcodescanner barcoo eine unverschlüsselte Verbindung nutzt, um die Standortdaten auf der dazugehörigen Webseite hochzuladen. Ob diese Berechtigung wirklich notwendig ist, muss dann jeder für sich selbst entscheiden. Clueful stuft Apps mit derartigen Berechtigungen als “Moderat riskante Apps” ein. Unter meinen 73 installierten Apps befindet sich zumindest keine einzige “Hochriskante App” und auch bei meinen Kollegen nicht.

clueful 1
Nach dem Start werden die Daten in die Cloud geladen. / © AndroidPIT

Interessant ist die Auflistung mit den grenzwertigen Berechtigungen einiger Apps. So habe ich beispielsweise vier Apps auf meinem Smartphone, die private Daten "an Fremde" senden, darunter die App Geldautomaten und WeatherBug. Wozu und vor allem welche Daten senden ein Geldautomatenfinder und eine Wetter-App an Dritte?

clueful2
Welche App was macht, listet Clueful noch einmal gesondert auf. / © AndroidPIT

Apps, die das Smartphone sehr aufdringlich mit Werbung zubomben, befinden sich auf meinem Gerät nicht. Hier hätte ich allerdings zumindest ein paar Spiele in der Aufzählung erwartet, die regelmäßig Werbung in meine Benachrichtigungsleiste ballern. Mit der Herausgabe von Standortdaten müssen wir uns natürlich abfinden, wenn wir spezielle Navigationsdienste nutzen wollen. Clueful verrät allerdings, dass verschiedene Nachrichten-Apps wie ntv und tagesschau ebenfalls Standortdaten verfolgen und stuft diese Berechtigungen als moderat riskant ein.

Clueful berechnet aus dem Gefahrenpotenzial der einzelnen Anwendungen einen “Privatsphäre-Faktor”, der sich bei uns allen in der Redaktion im Mittelbereich um die 50 befindet - keine besonderen Gefährdungen, aber auch keine absolute Sicherheit. Eine Information, auf die man als bewusster App-Nutzer im Grunde auch selber kommen kann.

Clueful selbst stuft sich natürlich als App mit geringem Sicherheits-Risiko ein. Bei den Berechtigungen der Bitdefender-App macht mich Folgendes jedoch stutzig:

Die gesammelten Informationen werden eventuell an die Bitdefender-Gruppe in den USA oder an andere Länder weitergegeben, in denen eventuell weniger strenge Datenschutzgesetze gelten als an Ihrem Wohnort.

Darüber hinaus werden die Daten beim Start der App in die Cloud hochgeladen. In den Datenschutzrichtlinien kann man außerdem nachlesen, dass sich Bitdefender vorbehält, die gesammelten Daten für Statistiken zu nutzen, ebenso können die Daten an Forschungseinrichtungen und Produzenten von Sicherheitssoftware weiter gegeben werden - natürlich nur zu unserer Sicherheit.

clueful3
Apps können auch direkt in der Clueful-App deinstalliert werden. / © AndroidPIT

Fordert Clueful hier aber nicht selbst kritische Berechtigungen, die in der eigenen App-Analyse gar nicht aufgezählt werden? Im Google Play Store wird man darüber informiert, dass Clueful sowohl den Telefonstatus und die Identität abrufen kann und Zugriff auf alle Netzwerke hat. Andere Apps wie beispielsweise WhatsApp und Facebook können das auch - und werden als moderat riskant eingestuft. Sicher nicht nur deshalb, aber die Berechtigungen an sich bekommen in der Auflistung einen orangenen Punkt und verändern somit auch den Privatsphäre-Faktor.

Informativ ist Clueful aber allemal. Es lassen sich nicht nur Warnungen vor Apps mit Freunden teilen, sondern Ihr erfahrt einiges, was sonst nicht immer gleich sichtbar wird. Wusstet Ihr, dass manche Apps Euren ganzen Kalender im Internet hochladen können? Wer sich in der Clueful-App einmal genauer umsieht, wird sicher überlegen, das ein oder andere Spiel mit ominösen Berechtigungen vom Smartphone zu kicken.

Wie seht Ihr das? Nutzt Ihr Apps wie Clueful und versprecht Ihr Euch davon mehr Sicherheit?

20 mal geteilt

13 Kommentare

Neuen Kommentar schreiben:
  • Izzy
    • Blogger
    29.05.2013 Link zum Kommentar

    @Terence: Und da fange ich genau bei der App selbst an: Die benötigt für ihre Funktionalität keinen Zugriff auf meine Geräte-ID. Und was die Funktionalität betrifft, leistet der *AppBrain Ad Detector* genau so gute Arbeit -- und greift dabei nicht auf meine GeräteID zu. Meine Entscheidung ist damit gefallen :D

  • Ich habe die App kürzlich ausprobiert. Ich denke sie kann für mehr Sicherheit sorgen, da man alle Berechtigungen aller Apps sehen kann, allerdings sollte man bei den jeweiligen Berechtigungen achten, ob sie für die App zwingend erforderlich sind.

  • Izzy
    • Blogger
    24.05.2013 Link zum Kommentar

    Noch ein Nachtrag zu meinem ersten Kommentar hier: *AppBrain Ad Detector* fordert nicht einmal die Berechtigung an, auf die IMEI zuzugreifen ("Telefonstatus und Identität abrufen" aka READ_PHONE_STATE ist dafür nämlich Voraussetzung). Von daher muss es sich bei der diesbezüglichen Information von Clueful definitiv um eine Falschaussage handeln. Was die Frage aufwirft, wie viele weitere Fehlinformationen u.U. noch "mit von der Partie" sind.

    Ein Blick in die Playstore-Kommentare, und schon haben wir einen weiteren Kandidaten: "er zeigt mir bei einer APP an , die nur die Berechtigung hat, ins Internet zu gehen, sie würde meine SMS lesen!?". Auch wird "Bitdefender Mobile Security als mittleres Risiko eingestuft" (hm, Eigentor? Oder nur Ehrlichkeit, da die App ja u.a. Internet-Zugriff verlangt?).

    Achja: root-Apps, die sonst keine Berechtigungen (explizit) anfordern, sind natürlich "vollkommen sicher" (woher Clueful wissen soll, dass sie root-Rechte nutzen? Von der Permission "android.permission.ACCESS_SUPERUSER", die einige der von mir verwendeten Apps anfordern (siehe auch: https://plus.google.com/103583939320326217147/posts/T9xnMJEnzf1), hat man bei BitDefender scheinbar noch nichts mitbekommen)...

  • thx für den blog :)

    und danke für die aufschlussreichen infos, izzy.. :)

  • Izzy
    • Blogger
    23.05.2013 Link zum Kommentar

    Wenn es lediglich um Permission-Browser geht, findet Ihr in der folgenden Übersicht passende Kandidaten: http://www.androidpit.de/de/android/forum/thread/425974/ -- die zeigen i.d.R. aber auch nur an, auf was Apps Zugriff haben, nicht was sie mit den Daten tun. Auch nicht, welche Werbe- oder Analyse-Addons drin stecken. Alternativen dazu finden sich unter oben angegebem Link :)

  • Izzy
    • Blogger
    23.05.2013 Link zum Kommentar

    @Peter: Die "Kommunikation mit der Cloud" ist wohl nur zeitweilig notwendig. Ein solcher Zeitpunkt ist der erste Start, wo sich Clueful wohl seine (aktuellen) Daten aus dem Netz lädt. Ist das einmal geschehen, kann der Netzzugang unterbunden werden: Ich habe Clueful vor obigem Test bereits den Zugriff auf ID und mobiles Netz untersagt. Anschließend dann auch WLAN. App funktionierte trotzdem noch -- unmittelbar danach. 24h später möchte sie bestimmt ihre Signaturen aktualisieren (sowohl von der Cloud zu Dir, als auch umgekehrt, was Änderungen auf Deinem Gerät betrifft).

    Achso, wer die AULA, äh, EULA *vor* der Installation der App einmal lesen möchte: ich habe einmal die entsprechenden Bildschirme durch meine OCR gejagt, und unbearbeitet bei http://pastebin.com/DGDyGtWF eingestellt (wow, Tesseract ist richtig gut :)

    Übrigens muss ich gefühlsmäßig Peter vollkommen Recht geben: "Sicherheitssoftware ist unter Android manchmal riskanter als die Malware...". Auch wenn die EULA nach viermaligem Lesen etwas harmloser aussieht: Sie dürfte in etwa das beschreiben, was andere Apps unangekündigt ohnehin tun -- von daher könnte man BitDefender hier "Transparenz" zu Gute halten, die an anderer Stelle (Geräte-ID) fehlt...

  • Danke Izzy :-)

  • Izzy
    • Blogger
    23.05.2013 Link zum Kommentar

    Interessant wird es insbesondere dann, wenn man diese diversen Apps mal direkt aufeinander los lässt. Das habe ich in meiner Übersicht teilweise gemacht (nachzulesen unter http://www.androidpit.de/de/android/forum/thread/458671/Uebersicht-Die-boese-Werbung#p1013957 -- Clueful wird dort in Kürze ergänzt, nachdem ich nun auch selbst einen Blick darauf geworfen habe). So entlarvt der "AppBrain Ad Detector" die App "TrustGo Ad Detector" als Nutzer von "Google Analytics" -- und wird nun hier selbst entlarvt: "lädt Ihre IMEI hoch auf ping.apptornado.com".

    Sich selbst stellt Clueful dabei natürlich als "brav" hin, und hat angeblich nur die Berechtigung zum Internet-Zugriff. Wie Christiane allerdings richtig bemerkte, möchte Clueful auch selbst gern auf die IMEI zugreifen (was sicher nicht zuletzt mit der EULA zusammenhängt, um den Nutzer geklauter Apps, ähm, in den Streichelzoo zu übermitteln). Ein Schelm, wer böses dabei denkt! Schon finde ich auch in meinem LBE Log: "Clueful: obtain IMEI number (denied)". Soviel zum Thema.

    So schön die Funktionalität sein mag: Das ist definitiv Heuchelei. Achja: Das angeschwärzte AppBrain taucht übrigens im LBE-Log nicht auf; sie hat also nicht einmal versucht, auf die IMEI zuzugreifen (geschweige denn, sie "auf ping.apptornado.com hochzuladen", wie Bitdefender behauptet) -- habe das Log der letzten 7 Tage durchgesehen, kein einziger Zugriff.

    Für mich hat sich da gerade eine namhafte Firma ziemlich disqualifiziert. Ziemlich heftig sogar. Denn insbesondere im Sicherheitsbereich sollte man sich solche Schnitzer nicht leisten.

    Ich hoffe, Firma Bitdefender stimmt mit mir überein, dass die EULA mit der Löschung der App hinfällig ist, und ich nicht mehr an selbige gebunden bin. Identifizieren können sie mich lediglich über meinen Google-Account -- meine Geräte-ID haben sie ja, Dank LBE, gar nicht erst erhalten...

    PS: Prima Blogbeitrag, Christiane!

  • Ich hab mein S2 gerootet und hab mal vorher mit LBE sowohl Internet als auch ID untersagt... aber ohne "Kommunikation mit der Cloud" geht es wohl nicht.. Na denn eben nicht... Sicherheitssoftware ist unter Android manchmal riskanter als die Malware...

    "permission friendly apps" hat bei mir bei über 200 Apps keine Besonderheiten ergeben. Den höchsten Score-Wert hatte Tasker, das ist aber auch kein Wunder....

  • permission friendly apps ist auch ne alternative und braucht sogar keine berechtigungen.

  • Komisch nur, dass Root-Apps, die beispielsweise meine WLAN-Passwörter (gewollt) auslesen, als geringe Risiko-App eingestuft werden. Genauso Greenify, GooManager, Keystore Unlocker, AdAway und SuperSU. Also ganz nett, um mal die Berechtigungen sortiert zu sehen, aber wirklich aufschlussreich nicht wirklich. Eine Root-App kann im Prinzip alles mit meinem Smartphone anstellen und wird als Grün eingestuft.

  • Sinnvolle APP.
    Viele sind zu faul die Berechtigungen zu lesen

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!