Home » News » Tracking über Android-Geräte-Infos gefährdet Firmengeheimnisse

Tracking über Android-Geräte-Infos gefährdet Firmengeheimnisse

Durch Fingerprinting-Techniken ermittelte Geräte-Infos ermöglichen die eindeutige Identifikation mobiler Geräte über Apps hinweg. Da Smartphones meist nur von einer Person genutzt werden, können so persönliche Daten erbeutet und Nutzerverhalten verfolgt werden. Fraunhofer SIT testete die 1.000 beliebtesten Android-Apps: 64 Prozent verwenden Fingerprinting, weshalb Unternehmen der Verlust von Firmengeheimnissen droht.

2 Min. Lesezeit
Fingerprint Scanner auf Android-Phone
Foto: ©AdobeStock/AriaSandi

Um Smartphones und Tablets App-übergreifend eindeutig zu identifizieren, nutzen Werbetreibende einen Mix spezifischer Geräte-Infos – einen sogenannten technischen Fingerabdruck: Die gesammelten Geräteinformationen umfassen die Version des Betriebssystems, den Gerätenamen, die Art des Geräts etc. Während jede dieser Informationen für sich allein keine eindeutige Zuordnung ermöglicht, ergibt die Kombination der Daten eine Art „Fingerabdruck“, der ein mobiles Gerät präzise identifizieren kann. Dadurch wird es möglich, das Verhalten eines Nutzers über mehrere Apps hinweg zu verfolgen, selbst wenn dieser keinen expliziten Zugriff auf seine Daten erlaubt.

Das Problem hierbei: Da ein mobiles Gerät in der Regel von nur einer Person verwendet wird, können Angreifer nicht nur das Gerät, sondern oft auch den Menschen dahinter identifizieren. Das bedeutet, dass durch Geräte-Fingerprinting auch personenbezogene Daten erfasst werden. Diese Identifikation birgt besonders für Unternehmen Gefahren, da sensible Geschäftsinformationen preisgegeben werden können, wenn Mitarbeitende auf ihren Firmenhandys Apps mit Fingerprinting-Technologien installieren. Hacker oder andere böswillige Akteure können die gesammelten Daten kaufen und damit möglicherweise die Geräte von Führungskräften ausfindig machen, Geschäftsgeheimnisse ausspionieren oder wertvolle Kundenkontakte ermitteln.

Ein prominentes Beispiel, wie gesammelte Daten für Manipulationszwecke genutzt werden können, ist der Cambridge-Analytica-Skandal. Hier zeigte sich, wie Daten aus verschiedenen Quellen zusammengeführt werden, um detaillierte Nutzerprofile zu erstellen, die dann für gezielte Manipulationen verwendet werden.

64 Prozent der beliebtesten Android-Apps nutzen Fingerprinting

Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben eine umfassende Analyse der 1.000 beliebtesten Android-Apps durchgeführt. Die Ergebnisse sind alarmierend: 64 Prozent dieser Apps setzen Geräte-Fingerabdrücke ein, um Nutzer zu identifizieren und zu verfolgen. Darüber hinaus extrahierten die Forscher 30.000 Domains aus den 2.000 meistgenutzten iOS- und Android-Apps, um die am weitesten verbreiteten Fingerprinting-URLs zu identifizieren. Sie fanden heraus, dass durch das Blockieren dieser spezifischen URLs in ungefähr 80 Prozent der Fälle das Tracking über Geräte-Fingerprinting gestoppt werden kann. Dies zeigt, dass Unternehmen durchaus Maßnahmen ergreifen können, um ihre Daten und die ihrer Nutzer besser zu schützen.

Neben Werbe- und Analysefirmen nutzen auch Trackingdienste diese Technik, um das Nutzerverhalten über mehrere Apps hinweg zu analysieren. Damit umgehen sie die in Webbrowsern verbreiteten Cookie-Banner, die es Nutzern ermöglichen, über die Nutzung ihrer Daten zu entscheiden. In Apps setzen Anbieter hingegen oft auf sogenannte Consent-Banner, die den Nutzer über die Datennutzung informieren sollen. Allerdings verwenden viele dieser Banner Tricks, um den Nutzer zur Zustimmung zu bewegen, beispielsweise durch irreführende Platzierung der Buttons oder unklare Formulierungen.

Auf der IT-Sicherheitsmesse it-sa in Nürnberg präsentieren die Experten des Fraunhofer SIT ihre Forschungsergebnisse zum Thema Geräte-Fingerprinting. Im Fokus stehen die Angriffs- und Verteidigungsmöglichkeiten für Unternehmen, um sich vor Datenverlust und dem Missbrauch durch Tracking zu schützen. Eine besondere Rolle spielt dabei die Vorstellung des Tools „Appicaptor“. Dieses Tool analysiert Apps und überprüft, ob sie den Sicherheitsrichtlinien eines Unternehmens entsprechen, beispielsweise ob sie ungewolltes Tracking betreiben oder sensible Daten preisgeben.

Zusätzlich haben die Mobile-Security-Experten ein interaktives Smartphone-Spiel entwickelt, das auf der Messe gespielt werden kann. Hier wird den Nutzern gezeigt, wie schwer es ist, den Cookie-Bannern in Apps zu entkommen. Ziel des Spiels ist es, so wenig digitale Cookies wie möglich zu sammeln – wer am Ende die wenigsten eingesammelt hat, erhält als Belohnung einen „analogen Cookie“, also einen echten Keks.

Mehr Infos zu Device Fingerprinting und den auf der Messe gezeigten Forschungsergebnissen gibt es hier.

Andere interessante News

An der Decke im Büro hängt ein grünes Notausgangsschild.

Effeff 925 Touch: Neue Generation der Fluchttürsteuerung

In großen Gebäuden mit vielen Fluchttüren bieten zentrale Bedientableaus wie das neue effeff 925 mit Touch-Display einen hohen Mehrwert: Es zeigt Türzustände übersichtlich an und e...

Flughafen Security-Check

Dormakaba & Rohde: Zukunft der Personenkontrolle

Dormakaba und Rohde & Schwarz erweitern ihre Partnerschaft auf den gesamten Bereich der kritischen Infrastrukturen. Ihre neue, gemeinsam entwickelte Zutrittslösung für die Optimier...

Börsendiagramm mit Strommast im Hintergrund als Darstellung kritischer Infrastrukturen

Energie- und Versorgungswirtschaft: Mehr Sicherheit und Resilienz gefordert

Strom, Wasser und Gas zählen zu den Grundpfeilern der Gesellschaft – doch ihre Bedeutung wird oft erst bei Störungen deutlich. Die Energie- und Versorgungswirtschaft steht vor stei...