Sicherheitsexperten haben gerade zwei riesige Datenschutzprobleme bei Smartphones entdeckt

Eskere Guru
Das Kameramodul des Apple iPhone 15 Pro Max.
Apple iPhone 15 Pro Max Andy Boxall / Digitale Trends

Was den Datenschutz und die Sicherheit von Smartphone-Benutzern betrifft, war dies eine ziemlich beeindruckende Woche. Konkret haben zwei Untersuchungen besorgniserregende Datenschutzbedenken im Zusammenhang mit Smartphone-Werbung und dem Benachrichtigungssystem von iOS aufgedeckt.

Die erste, eine eingehende Untersuchung von 404 Media , ergab, dass ein Unternehmen namens Patternz das Anzeigenauslieferungssystem auf Smartphones zu einer Waffe macht, um Informationen über Apps zu extrahieren und sie dann an Bieter zu senden.

Der Bericht beschrieb Patternz als „ein geheimes Spionagetool, das Milliarden von Telefonprofilen über die Werbebranche verfolgen kann“. Patternz nutzt eine Pipeline in beliebten Apps wie 9Gag und einer Reihe beliebter Anrufer-ID-Apps, um seine schändlichen Aufgaben zu erledigen. Berichten zufolge teilte Patternz seinen Kunden mit, dass es praktisch jede App überwachen kann, die Werbung schalten kann.

Der CEO des Unternehmens sagt, sobald das Tool, das über eine halbe Million Apps abdeckt, eingesetzt wird, verwandelt sich das Telefon in ein „De-facto-Tracking-Armband“. Einem vernichtenden Forschungsbericht zufolge werden Profile von über 5 Milliarden Nutzern erstellt und die Informationen an Kunden weitergegeben, die den Markt für Echtzeitgebote (RTB) nutzen. Unabhängig davon, ob Sie ein iPhone oder ein Android-Telefon besitzen, kann dies Auswirkungen auf Sie haben.

ISA, das Überwachungsunternehmen hinter Patternz, sammelt diese Daten von RTB-Playern wie Google und X, früher bekannt als Twitter. Der verkaufte Datensatz kann alles umfassen, von einem sehr spezifischen Standort einer Person mit einer Genauigkeit von mehreren Metern bis hin zu einer Historie ihres Bewegungsmusters und sogar der Person, die sie trifft.

Ein riesiges Überwachungsnetz

Illustration von Menschen, die auf dem Bildschirm eines Telefons stehen
Erstellt mit Dall-E 2 / Digital Trends

Die bloße Existenz solcher Tools stellt auch die Effizienz der stark vermarkteten App-Tracking- Transparenzfunktion von Apple in Frage, die darauf abzielt, solches werbegestütztes Tracking einzuschränken.

Cybersicherheitsexperten sagen, dass solche Tools eine Überwachung durch die Regierung ermöglichen, und Unternehmen wie die ISA bewerben ihre Dienste bereits bei nationalen Sicherheitsbehörden. Das ist kein Zufall.

Der Chef der National Security Agency hat eingeräumt, dass die NSA Webbrowser-Daten von Amerikanern von Datenbrokern erwirbt und dabei die Notwendigkeit von Durchsuchungsbefehlen umgeht.

Die bombastische Bestätigung erfolgte, nachdem Senator Ron Wyden (D-OR) die Nominierung des neuen Direktors der NSA, Timothy Haugh, zurückgestellt und Antworten zu den Praktiken der Agentur bei der Erfassung von Standort- und Internetdaten von Amerikanern verlangt hatte.

Wyden, der seit drei Jahren versucht aufzudecken, dass die NSA Internetaufzeichnungen von Amerikanern kauft, erhielt am 11. Dezember einen Brief vom derzeitigen NSA-Direktor Paul Nakasone, in dem er diese Käufe bestätigte. Reuters berichtete zunächst über die Einzelheiten des Briefes.

Benachrichtigungen können schändlich sein

Benachrichtigungsregisterkarte der Ivory-App
Christine Romero-Chan / Digitale Trends

Aber Werbung ist nur die Hälfte des Problems. Eine weitere Untersuchung von Mysk ergab, dass Kriminelle die Push-Benachrichtigungen auf iPhones ausnutzen, um wichtige Daten für Diagnosen und individuelle Datenübermittlung zu sammeln.

Immer wenn eine App eine Push-Benachrichtigung erhält, aktiviert iOS sie kurzzeitig und gibt ihr so ​​ein kurzes Zeitfenster, in dem sie die Benachrichtigung personalisieren kann, bevor sie dem Benutzer angezeigt wird. Es überrascht nicht, dass verschiedene soziale Apps, die für ihre invasiven Datenerfassungsgewohnheiten berüchtigt sind, diese durch Push-Benachrichtigungen bereitgestellte Hintergrundlaufzeit ausnutzen.

Entwickler können diese Lücke geschickt nutzen, um jederzeit Code im Hintergrund auszuführen, indem sie einfach Push-Benachrichtigungen senden. Zahlreiche Apps nutzen diese Funktion, um im Hintergrund heimlich umfassende Gerätedaten zu versenden und so quasi ein System zur Fingerabdruckerkennung von Geräten zu betreiben.

„Die Häufigkeit, mit der viele Apps Geräteinformationen senden, nachdem sie durch eine Benachrichtigung ausgelöst wurden, ist umwerfend“, sagt das Sicherheitsunternehmen. Diese Untersuchung hat verdächtiges Verhalten sogar auf äußerst beliebten Plattformen wie Facebook, TikTok und LinkedIn aufgedeckt.

Was sagen Experten?

Illustration einer Frau, die durch ein Telefon schaut
Erstellt mit Dall-E 2 / Digital Trends

Die einzige Lösung für dieses Problem? Benachrichtigungen deaktivieren.

„In letzter Zeit versuchen Angreifer, Benachrichtigungs-Popups und Anzeigen zu verwenden, die das Opfer dazu verleiten könnten, Spyware auf seinen Geräten zu installieren“, sagt Jon Clay, CEO des globalen Cybersicherheitsunternehmens Trend Micro, gegenüber Digital Trends.

Was kann ein Durchschnittsmensch also tun, um einer solchen illegalen Überwachung zu entgehen, bei der identifizierende Details wie Standort und lokale Daten übermittelt werden können? „Viele Menschen glauben, dass mobile Geräte an sich schon sicher sind“, sagt Clay und weist darauf hin, dass die Installation von Werbeblockern eine Art Sicherheitsnetz oder spezielle Sicherheits-Apps bieten könnte.

„Angriffe dieser Art sind ziemlich heimtückisch und äußerst alarmierend“, sagt Alan Bavosa, Vizepräsident für Sicherheitsprodukte bei Appdome. Er weist darauf hin, dass Benutzer solchen Angriffen in der Regel schutzlos ausgeliefert sind, da sie überhaupt nicht wissen, was auf ihren Geräten passiert.

„Es gibt kleine Dinge, die Benutzer tun können, um die Sache nicht noch schlimmer zu machen, wie zum Beispiel Apps aus Standard-App-Stores herunterzuladen und ihre Geräte nicht zu verändern (Jailbreak oder Rooting),“ sagt Bavosa. „Aber diese Maßnahmen sind additiv und nicht heilend.“

Eine Person hält das Apple iPhone 15 Plus und das Apple iPhone 15 Pro Max.
Apple iPhone 15 Pro Max (links) und Apple iPhone 15 Plus Andy Boxall / Digital Trends

Leider scheint die Verantwortung letztendlich beim Benutzer zu liegen, und auch das ist eine vorbeugende Maßnahme. Ein häufiger Vorschlag von Cybersicherheitsexperten besteht darin, manuell in die Einstellungs-App einzugreifen und Benachrichtigungs-Apps für bestimmte Apps und möglicherweise auch für Gerätesensoren zu deaktivieren.

„Manche Adware und Spyware werden möglicherweise von böswilligen Akteuren auf den offiziellen Marktplätzen unter dem Vorwand einer legitimen App veröffentlicht“, sagt Shawn Loveland, Chief Operating Officer bei Resecurity. „Es wird empfohlen, keine zufälligen Apps oder Apps zu installieren, die Sie nicht wirklich benötigen.“

Auch wenn Kriminelle Workarounds gefunden haben, ist es ein kluger Schritt, Apps zu bitten, die Benutzeraktivitäten auf Ihrem iPhone nicht zu verfolgen. „Es ist eine gute Idee, regelmäßig die Berechtigungen von Apps zu überprüfen, insbesondere diejenigen, die sich auf den Standort und den Mikrofonzugriff beziehen, und alle nicht notwendigen zu deaktivieren“, empfiehlt John Chapman, Mitbegründer der Sicherheitsfirma MSP Blueshift.

Später in diesem Jahr wird es eine gewisse Erleichterung geben, da Apple sich darauf vorbereitet, Entwickler aufzufordern, explizit zu erklären, warum sie auf Push-Benachrichtigungen und die zugehörigen Diagnosesysteme auf iPhones zugreifen müssen. Es wird nicht alle Probleme auf einmal lösen, aber es ist zumindest ein guter Anfang.