Daten per Ultraschall 09.05.2017, 07:48 Uhr

Spionage-Software in 234 Apps für Android-Handys entdeckt

Jetzt versucht die Werbeindustrie, Kunden per Ultraschall auszuspionieren und mit personalisierter Werbung zu ködern. Ingenieure der TU Braunschweig haben in 234 Apps für Android-Handys Spy-Software entdeckt, die Ultraschall für unbemerkte Datenübertragung nutzt. Die Besitzer wissen davon nichts.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Nachricht zu den US Open in New York auf einem Smartphone: Forscher der TU Brauchschweig haben herausgefunden, dass inzwischen 234 Apps für Android-Smartphones unbemerkt Informationen per Ultraschall mit internetfähigen Geräten austauschen und private Daten übermitteln.

Foto: IBM

Dass Smartphone-Nutzer im Einkaufszentrum per Bluetooth Rabatt für eine Jeans angeboten bekommen, wenn sie an der Boutique vorbeigehen, ist nicht ganz neu. Beacons nennt man die Sender und Empfänger, die dann per Bluetooth Daten austauschen. Allerdings muss der Smartphone-User dafür dem Austausch zustimmen und Bluetooth einschalten.

Spy-Software in Apps von McDonald’s und Krispy Kreme

Jetzt haben Sicherheitsexperten der TU Braunschweig entdeckt, dass aktuell 234 Apps unbemerkt auch Verbindungen zu anderen Geräten wie Smart-TVs und Beacons per Ultraschall aufbauen, um sensible Daten auszutauschen. Die Software in den betroffenen Apps stammt weit überwiegend vom Unternehmen Silverpush, aber auch von den Konkurrenten Lisnr und Shopkick.

Und das Ganze ist auch kein Randproblem. Denn unter den 234 vornehmlich in Asien angebotenen Apps sind auch die Apps der asiatischen McDonald’s-Filialen und der US-Donuts-Restaurantkette Krispy Kreme. Einzelne der betroffenen Apps sind mehr als fünf Millionen Mal heruntergeladen worden.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Per IBM-App können Kunden bei Macy’s in jeder Sprache Fragen an das Unternehmen schicken. Bei solchen Diensten weiß der Kunden, dass er Funktionen freischaltet und Informationen hinterlässt. Bei Ultraschall-Übertragungen weiß der Kunden vom Datenaustausch nichts.

Quelle: IBM

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Ingenieur* Site Reliability DFS Deutsche Flugsicherung GmbH
Bundeswehr-Firmenlogo
Ingenieurin / Ingenieur mit Master in Informatik / Elektrotechnik - Beamten - Ausbildung (m/w/d) Bundeswehr
Mannheim Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Stadt Worms-Firmenlogo
Projektleiter (m/w/d) CAFM Stadt Worms
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
thyssenkrupp AG-Firmenlogo
Trainee Automatisierung Bochum (m/w/d) thyssenkrupp AG
Flowserve Corporation-Firmenlogo
Trainee Operations (m/w/d) mit dem Schwerpunkt Prozessoptimierung und Digitalisierung Flowserve Corporation
Dortmund Zum Job 
Hallesche Wasser und Stadtwirtschaft GmbH-Firmenlogo
IT Projektmanager / Key User - Prozessoptimierung, E-Commerce & Vertrieb (m/w/d) Hallesche Wasser und Stadtwirtschaft GmbH
Halle (Saale) Zum Job 
POLYVANTIS GmbH-Firmenlogo
Ingenieur / Techniker Elektrotechnik / Automatisierungstechnik (m/w/d) OT, Messsysteme (m/w/d) POLYVANTIS GmbH
Weiterstadt Zum Job 
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Stadt Köln-Firmenlogo
Ingenieur*in (m/w/d) Stadtplanung, Geografie oder Geoinformatik Stadt Köln
WIRTGEN GmbH-Firmenlogo
System- und Softwarearchitekt (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
WIRTGEN GmbH-Firmenlogo
Embedded Anwendungs-Softwareentwickler (m/w/d) - mobile Arbeitsmaschinen WIRTGEN GmbH
Windhagen (Raum Köln/Bonn) Zum Job 
B. Braun Melsungen AG-Firmenlogo
Global Lead (w/m/d) Operational Technology (OT) B. Braun Melsungen AG
Melsungen Zum Job 
WIRTGEN GmbH-Firmenlogo
Duales Studium Software Engineering - Bachelor of Engineering (m/w/d) WIRTGEN GmbH
Windhagen, Remagen Zum Job 
VIAVI-Firmenlogo
Senior / Software Engineer (C++, Python & Cloud) (m/w/d) VIAVI
Eningen Zum Job 
Tagueri AG-Firmenlogo
Consultant OTA - Connected Cars (m/w/d)* Tagueri AG
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur Vermessung (m/w/d) Die Autobahn GmbH des Bundes
Montabaur Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Lösungsentwickler (w/m/d) im Digitallabor Geoinformatik Die Autobahn GmbH des Bundes

„Die Technologie ist nicht neu und in Fachkreisen seit längerem bekannt“, so Prof. Konrad Rieck vom Institut für Systemsicherheit der TU Braunschweig. Und sie verbreitet sich offenbar immer schneller: Im April 2015 fanden die Braunschweiger Forscher die Technik erst in sechs Apps. Ende 2015 waren es schon 39 Apps, jetzt sind 234 Apps betroffen.

Datenaustausch per Ultraschall für Menschen nicht hörbar

Und wie funktioniert die Technik? „Kleine Datensequenzen im Ultraschallbereich zwischen 18 und 20 Kilohertz werden von einer App über das Mikrofon des Smartphones empfangen. Die App sendet dann über das Internet Daten zurück“, erklärt Rieck die Technik. Das bedeutet: Läuft ein Kunde an einem Laden vorbei, der Ultraschall-Beacons, kurz uBeacons, nutzt, reagiert das Smartphone automatisch auf das Signal. Das Smartphone empfängt das Signal über das Mikrofon, ganz automatisch.

Und genau das ist für den Handel interessant, um personalisierte Werbung aufs Display zu schicken. „Bislang wurde diese Technologie von Shopping-Apps genutzt, die dann standortbezogene Rabattangebote auf das Handy geschickt haben. Versteckt in Fernsehwerbung oder Videos können aber auch Daten über Nutzergewohnheiten und Vorlieben abgefischt werden“, so Prof. Rieck.

Spy-Software lässt sich auch in Werbebannern verstecken

Doch auch weitere Datenübertragungen sind denkbar. „Je nachdem, was der Nutzer einer App erlaubt, werden auch zusätzliche Daten übertragen, die zu einem Profil kombiniert werden können.“ Möglich ist es, die Spy-Software sogar in Werbebannern auf Internetseiten zu verstecken. Wie gesagt: Die Ultraschall-Signale sind für den Menschen nicht hörbar, nur für das Smartphone. Ein weiteres Problem: Bei den betroffenen Apps wissen die Nutzer gar nicht, dass die Apps sogenannte uBeacons nutzen.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Prof. Konrad Rieck, Leiter des Instituts für Systemsicherheit der TU Braunschweig, hat in 234 Apps für Android-Geräte versteckte Ultraschall-Beacons gefunden.

Quelle: Anne Hage/TU Braunschweig

Ob die Technik schon genutzt wird, ist nur schwer zu ermitteln. Über das Fernsehen wird die Technik offenbar noch nicht genutzt. Die Braunschweiger IT-Forscher haben TV-Programme in sieben Ländern wie den USA, Deutschland, Großbritannien und Indien untersucht, aber keine Auffälligkeiten gefunden.

Prof. Rieck: Vorsicht bei Freischaltung von Rechten

Dennoch rät Prof. Rieck zur Vorsicht. „Grundsätzlich sollte man bei Smartphone-Anwendungen immer prüfen, welche Rechte sie anfordern. Die Aufnahme von Ultraschall-Signalen ist nur möglich, wenn die Anwendung Zugriff auf das Mikrofon bekommt. Hier sollte man als Nutzer kritisch hinterfragen, ob die angeforderten Rechte mit dem eigentlichen Zweck einer Anwendung übereinstimmen“, so der Forscher. „Im Zweifelsfall sollte man eine Anwendung lieber nicht installieren und nach Alternativen suchen.“

Denn auf dem Smartphone lägen einfach zu viele sensible Daten wie Fotos, Termine, Emails und Bewegungsdaten. Rieck. „Diese Informationen lassen sich gut verkaufen und so sollte es einen immer misstrauisch machen, wenn Anwendungen ungewöhnlich viele Rechte benötigen oder andere persönliche Daten aufzeichnen möchten.“

Sie brauchen Tipps für Ihr Android-Smartphone? Hier sind die besten

Und wie Sie Viren auf Ihrem Android-Smartphone wieder loswerden, das erklären wir Ihnen hier.

Ein Beitrag von:

  • Axel Mörer-Funk

    Axel Mörer-Funk ist Gesellschafter der Medienagentur S-Press in Bonn. Nach einem Volontariat beim Bonner Generalanzeiger und dem Besuch der Journalistenschule Hamburg arbeitete er u.a. als freier Journalist für dpa, Bunte und Wirtschaftswoche.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.