PresseKat - Zscaler warnt: Kostenlose Apps – und was Anwender wirklich dafür zahlen

Wer vergleichsweise sorglos Apps auf sein neues Smartphone lädt, riskiert, dass Daten abgezogen oder gestohlen werden

(firmenpresse) - Gerade zu Weihnachten erfüllt sich manch einer den Wunsch nach einem neuen Smartphone oder Tablet-PC. Mit den technischen Spielzeugen landet aber nicht selten auch ein beträchtliches Gefahrenpotenzial gleich mit auf dem Gabentisch. Die Sicherheitsexperten von Zscaler warnen sowohl Privatanwender als auch Unternehmen vor einem zu sorglosen Umgang mit kostenlosen Apps. Sie haben oftmals einen hohen Preis im Gepäck.

Gerade beim Download kostenloser Apps sollten Anwender besonders sorgfältig auswählen, wenn sie nicht riskieren wollen sensible Daten preiszugeben. Größtenteils geschieht das unbeabsichtigt, und Anwender sind sich nicht bewusst, welche Mechanismen sie mit dem Herunterladen solcher Apps in Gang setzen. Dazu kommt: Mobile Endgeräte im Privatbesitz werden zunehmend beruflich genutzt (als „BYOD“ – Bring your own Device“ bekannt), so dass auch Unternehmensdaten in Gefahr geraten.

Wenn Anwender also in der Weihnachtspause mit ihren neuen Gadgets experimentieren, sollten sie zumindest die entsprechenden Top-3-Sicherheitsvorkehrungen gegen die Datensammelwut und den Verlust ihrer Daten beherzigen:

1)Die größte Gefahr geht derzeit von inoffiziellen App-Stores aus, die man auf jeden Fall meiden sollte. In den hier frei verfügbaren Apps verbergen sich am häufigsten Mechanismen, die private Daten auslesen. Unternehmen sollten sich wappnen, in dem sie die URLs dieser Online-Shops grundsätzlich auf allen Geräten blocken, die der Anwender auch beruflich nutzt.

2)Wenn Anwender auf kostenlose Apps nicht verzichten wollten, sollten sie immer zuerst prüfen, ob von diesen Anwendungen ein Risiko für ihre Daten ausgeht. Für einen schnellen Sofort-Check gibt es Sicherheitstools wie ZAP (den Zscaler Application Profiler) und andere.

3)Um Sicherheitsvorfälle bei Firmendaten zu verhindern, sollten Unternehmen den gesamten ein- und ausgehenden Datenverkehr von jeglichem Endgerät filtern und absichern. Allein den Datenverkehr der mobilen Geräte innerhalb des Unternehmensnetzes zu schützen reicht nicht mehr aus, denn Mitarbeiter verbringen zunehmend mehr Arbeitszeit unterwegs und außerhalb der Firma. Jedes Unternehmen muss dann genau wissen, welche Apps die Mitarbeiter tatsächlich nutzen, und dazu entsprechende Reports ziehen können. Dann lässt sich dass Risiko mit Regeln zur Nutzung und gegebenenfalls dem Blockieren der URL eindämmen.

Michael Sutton, Director of Security Research bei Zscaler, erläutert die Hintergründe der aktuellen Sicherheitswarnung:

Viele mobile Apps sind nützliche Tools oder versprechen einen hohen Spaßfaktor. Allerdings treten Anwender oftmals schon beim Download unüberlegt Rechte an die Entwickler ab ohne sich über die Folgen im Klaren zu sein. Sie willigen – implizit oder explizit – ein, überwacht zu werden oder geben private Daten zum Ausspionieren preis. Das mag für den Privatnutzer noch ein vergleichsweise geringeres Problem sein. Wenn das mobile Endgerät aber auch beruflich zum Einsatz kommt entsteht ein beträchtliches Risikopotenzial. Handelt sich eine Führungskraft auf dem Smartphone eine derartige App ein, die beispielsweise mittels Geo-Location-Daten die Wege zu Geschäftspartnern und Meetings aufzeichnet, kann ein beträchtlicher Schaden für das Unternehmen entstehen. Das gleiche gilt, wenn die Apps Telefonbücher auslesen und an Dritte weiterleiten.

“Anwender müssen grundsätzlich davon ausgehen, das sie sich mit dem Download kostenloser Apps das Risiko einhandeln überwacht zu werden,“ so Michael Sutton. “Der arglose Nutzer ist sich selten der immensen „versteckten Kosten“ bewusst, die mit den vermeintlich günstigen Anwendungen einhergehen.” Nicht selten besteht der einzige Zweck solcher Apps darin, die Daten des Anwenders zu sammeln und die entsprechend erstellten Profile zu Werbezwecken zu nutzen.

Die kostenlose App ist folglich so entwickelt, dass sie möglichst viele Informationen und Daten des entsprechenden Anwenders einsammelt. Werden unterschiedliche Apps auf dem gleichen Gerät genutzt, erstellen sie ein detailliertes Profil über die Gewohnheiten und Vorlieben einer Person. Das geschieht, indem die App auf die eindeutigen Identifikationsnummern des Geräts, wie beispielsweise die IMEI-/ UDID-Nummern oder MAC Adressen zugreift. Diese Profile lassen sich sehr gut vermarkten und gezielt zu Werbezwecken einsetzen. Sind die Präferenzen des Users ein Mal bekannt, wird er mit zielgerichteten Werbebotschaften angesprochen.

Besonders achtsam sollten Anwender allerdings sein, wenn sie sich in inoffiziellen App-Stores bedienen. Hier ist die Gefahr am größten sich gefälschte oder geklonte Apps einzuhandeln, die ein extrem hohes Risikopotenzial bergen. Die Mehrzahl der dort verfügbaren Apps ist laut Sutton darauf ausgelegt, persönliche Daten oder Zugangsdaten beispielsweise zu Online-Banking Seiten abzugreifen.

Dazu kommt eine weitere lukrative Geldquelle für die Entwickler und Anbieter von Fake-Apps: nämlich der SMS-Betrug. Dabei werden Textbotschaften an teure, kostenpflichtige Nummern verschickt. Gerade aktuell in dieser Woche hat das Zscaler-Research-Team einen Betrug dieser Art aufgedeckt. Die Android Malware MouaBad.P kann SMS lesen, schreiben, senden und empfangen. Damit kann ein Hacker Android-Anwendungen dahingehend manipulieren, dass sie Anrufe über gebührenpflichtige, hochpreisige Nummern tätigt. Da der Angreifer diese Transaktionen kontrolliert, landen bei ihm auch ein Teil der entsprechenden „Einnahmen“.
Näheres zu dieser Betrugsmasche gibt es im Zscaler-Blog http://research.zscaler.com/2013/12/dissection-of-android-malware-mouabadp.html zum Nachzulesen.