Datenschutz- und Sicherheitsanalyse von Mobilen Learning Apps

Unter den gefundenen Sicherheitslücken, welche ein niedriges Risiko für die persönlichen Informationen des Nutzers darstellen, fallen unter anderem Informationen zum Gerät des Nutzers oder etwa Verbindungseinstellungen. Für die vorliegende Studie übernehmen wir die in Lumen Privacy Monitor vordefinierte Spezifikation von niedrigen Sicherheitsrisiken. Diese umfassen zum einen die Marke (Brand), das Modell und den Hersteller (Device Model), das Betriebssystem und die Android Version (Build Fingerprint) des verwendeten Gerätes. Außerdem stellt eine App ein geringfügiges Sicherheitsrisiko für die Daten des Nutzers dar, wenn sie Verbindungseinstellungen (Connectivity) einlesen kann. Alle untersuchten Apps weisen bei fast allen niedrigen Risiken einen positiven Befund durch Lumen Privacy Monitor auf.

Unter mittleren Sicherheitsrisiken werden Datenlecks wie InstalledApps, Keyword:secret, UnprotectedLocationQueries und UntransparentCalenderAccess zusammengefasst. Installed Apps definiert ein Risiko/Bedrohung mittleren Grades, da die untersuchte Learning App Zugriff auf die übrigen auf dem Gerät installierten und aktuell ausgeführten Apps erhält und diese Informationen weiterleitet. Die so gewonnenen Informationen können von Entwicklern und Werbetreibenden genutzt werden, um u. a. Persönlichkeitsmerkmale zu inferieren Seneviratne et al. (2014) [9] und Personalisierung als Teil ihrer Marketing-Strategie umzusetzen. Zu den Apps mit dem Datenleck Installed Apps zählen Duolingo und Mathematik – Logikspiele, Übungen für das Gehirn. Die zweite Lücke Keyword:secret weißt auf das Vorhandensein des zuvor eingestellten Suchworts secret im Datenverkehr auf. Diese Tatsache wird als mittelschweres Datenleck ausgedrückt. Wir verwenden während der Simulation die Zeichenkette „secret“ für Login-Daten bzw. Benutzernamen. Wenn also z. B. die Lumen App diese Zeichenkette im Datenfluss der untersuchten Learning-App ausfindig machen kann, so besteht die Gefahr, dass ein Angreifer ebenso eine solche sensitive Information aus dem Datenfluss ermitteln und ausnutzen kann. Daher stellt dies ein großes Risiko dar. Unter den zehn untersuchten Learning Apps könnte diese Problematik ausschließlich bei der App JitsiMeet festgestellt werden. Unter UntransparentCalenderAccess fassen wir Datenleaks zusammen, die dadurch entsteht, wenn die untersuchte App durch Query-Schnittstellen und ohne explizite Interaktion mit dem Nutzenden (z. B. Betätigung eines OK-Button) auf Kalendereinträge zugreifen kann. Bei einer der untersuchten Learning-Apps konnte dieses Datenleak festgestellt werden. UnprotectedLocationQueries weist auf das Risiko einer aus Sicht des Nutzenden unbeabsichtigen bzw. intransparenten Offenlegung von Standort- oder Web-Abfragedaten hin. Hier fokussieren wir insbesondere auf Leaks, die entweder durch unsichere Kommunikation mit (Dritt-)Dienstanbietern wie z. B. Google Maps oder einer Interpretation von WiFi- und Access-Point-Informationen wie z. B. die WiFi-MAC Adresse Cunche (2014) [4] entstanden sind. Unsere Befunde zeigen, dass 10 % der untersuchten Apps Google-Maps-Anfragen über unsichere Kanäle stellen. Angreifer können dementsprechend Standort-Informationen aus den übermittelten Anfragen extrahieren. 30 % der Apps geben Details über WiFi- und Access-Point preis. Aggregiert betrachtet sind es 30 % der Apps die das UnprotectedLocationQueries Risiko darstellen – d. h. die Möglichkeit bieten, unautorisiert auf Standorte zuzugreifen und Bewegungsprofile zu erstellen.

Hohe Sicherheitsrisiken umfassen den Zugriff auf und die Weiterleitung von sensitiven Identifiers, welche Werbenetzwerken und Libraries die Möglichkeit gibt, den Nutzer über mehrere Anwendungen und Plattformen hinweg zu beobachten bzw. zu verfolgen. Dies stellt eine massive Beeinträchtigung der Privatsphäre dar, da der Nutzer dadurch zum Opfer von Tracking, Profilbildung und gezielter unerwünschter Werbeanzeigen werden kann. Die Hälfte der im Rahmen der dynamischen Analyse betrachteten Learning-Apps greifen und teilen mindesten einen eindeutigen Identifier (IMEI/MEID in 20 % der Fälle und MAC-Adresse in 30 % der Fälle). Darüber hinaus erfassen alle diese Apps zusätzlich die sog. „Google advertising ID“, eine Kennung für Werbetreibende, die es ihnen ermöglicht, die Werbeaktivitäten von Benutzern auf Android-Geräten anonym zu verfolgen. Ein Zugriff auf eindeutige Bezeichner, auch in Kombination mit der Advertising ID, stellt eine klare Verletzung der Google Play-Programmrichtlinien für Entwickler dar.¹⁴

Zunächst wollen wir die erfassten Zielknoten der einzelnen Verbindungen innerhalb des analysierten Datenflusses betrachten. Die meisten Zieladressen im Datenverkehr der untersuchten Apps liegen in den Vereinigten Staaten, wobei Deutschland am zweithäufigsten vertreten ist. Eine der untersuchten Learning Apps leitet Daten an einen sich in der Volksrepublik China befindlichen Server weiter. Ein Großteil der Apps in dieser Analyse leitet Daten zu IP-Adressen weiter, welche 6 oder weniger verschiedenen Organisationen zuzuordnen sind. Jedoch stechen die Apps Mathe-Einmaleins, Quizlet und Coursera: online courses besonders hervor, da sie IP-Verbindungen zu mehr als 9 verschiedenen Organisationen aufbauen. Nach unserer Analyse interagiert die App Coursera sogar mit mehr als 16 verschiedenen Organisationen.

Wie die Ergebnisse der Untersuchung des Datenverkehrs durch Wireshark¹⁵ zeigen, enthalten alle Apps Datenpakete in ihrem Datenfluss, welche das Verschlüsselungsprotokoll Transport Layer Security (TLS) verwenden. Lediglich eine App zeigt Anfälligkeiten und zwar in Bezug auf einen fehlerhaften benutzerdefinierten SSL/TLS-Vertrauensmanager. Hier wurde die Vertrauensverwaltung für Socket-Kommunikation auf unsichere Weise modifiziert. Durch die Anwendung des TLS-Protokolls wird sowohl die Verschlüsselung der übermittelten Daten als auch deren Integrität gewährleistet. Betrachtet man die Verteilung von TLS-Datenpaketen innerhalb des analysierten Datenverkehrs der Apps, so stellen wir fest, dass im Durchschnitt etwa 33 % des Datenflusses in den populärsten Apps mit TLS verschlüsselt ist. Die Abb. 16 stellt die Verteilung der TLS Datenpakete aller untersuchten Apps prozentual dar. Die Apps Google Classroom und JitsiMeet fallen hierbei besonders auf, da mehr als 50 % des Datenverkehrs mittels TLS verschlüsselt übertragen worden ist. Unter den übrigen Apps wie etwa NeuroNation, Mathe–Einmaleins oder Coursera: online courses weisen die Apps aber nur weniger als 20 % verschlüsselten TLS-Datenverkehr auf.

Gehen wir näher auf die verwendeten TLS-Protokolle ein, so stellen wir fest, dass die Apps hauptsächlich TLS in der Version 1.2 (v1.2) bzw. Version 1.3 (v1.3) benutzen, wobei v1.3 eine neuere und damit fortschrittlichere Version darstellt. In TLS v1.3 wurden einige Sicherheitslücken, welche in der älteren Version 1.2 auftreten, behoben. Betrachten wir die Verbreitung der besser gesicherten TLS v1.3, so stellen wir fest, dass 6 der 10 untersuchten Apps weniger als 1 % des Datenflusses mit dieser TLS Version absichern. Die TLS Version 1.2 hingegen weist im Durchschnitt etwa 28 % des gesamten Datenflusses auf und ist somit weitaus öfter vertreten als die neuere Version. Obwohl die untersuchten Apps zu den populärsten in unserem Datensatz gehören, so verwenden die Verbindungen dennoch nur selten die TLS v1.3, welche bereits seit 2018 veröffentlicht ist und dem Stand der Technik entspricht.