Weit verbreitete Virenscanner für Android übermitteln bei der Kommunikation mit den Herstellern für die Analyse nicht benötigte private Daten. Das zeigt eine Analyse des c’t-Magazins. Bei vier von sechs Apps berichten die Tester von ernsthaften Datenschutzproblemen.
Alle Apps im Test verfügen über eine Funktion zum Safe-Browsing, die den Nutzer beim Besuch eventuell bösartiger Internetseiten warnt. Dazu kommunizieren die Apps mit den Servern der Hersteller, um die Einstufung einer Website abzufragen. Dabei werden mehr Daten als nötig übermittelt: Von den meisten Sicherheitsanwendungen wird die vollständige Adresse einer besuchten Internetseite übertragen. Dadurch lässt sich zum Beispiel das Surfverhalten des Nutzers auswerten.
Zwei der Anwendungen im Test fallen besonders negativ auf: Avast und AVG. Die überaus beliebten Sicherheits-Apps senden zusätzlich zur Adresse auch anhängende Parameter. Diese können vertrauliche Daten über die aktuelle Sitzung oder auch Passwörter enthalten.
Zusätzlich bemängeln die Sicherheitstester, dass Anfragen im Safe-Browsing-Modus im Klartext übertragen werden. Das gilt selbst dann, wenn Nutzer vermeintlich sicher auf HTTPS-Seiten surfen. Dadurch wird es Angreifern möglich, besuchte Unterseiten auszulesen.
Unklar ist, inwieweit die übertragenen Daten bei den Herstellern gespeichert und ausgewertet werden. Dass ausgerechnet Sicherheitsanwendungen selbst über Methoden zum Ausspähen des Nutzers verfügen, entspricht nicht den Erwartungen an solche Apps.
Update (25.02.2014): Softonic hat mit dem AVG-Sicherheitsexperten Tony Anscombe gesprochen. Seit dem neuesten Update von AVG AntiVirus für Android werden die URL-Daten verschlüsselt auf den AVG-Server übertragen. Damit wird auch das Problem von vertraulichen Daten und URL-Parametern behoben.
Update (26.02.2014): Avast-Sprecherin Marina Ziegler hat Softonic inzwischen mitgeteilt, dass der Safe-Browsing-Modus von Avast Mobile Security & Antivirus ebenfalls geändert wurde. Seit dem letzten Update vom 18. Februar 2014 überträgt die Anwendung die URL-Daten komplett verschlüsselt an den Avast-Server zur Überprüfung.
Quelle: heise online
Passende Artikel
Umfrage: Deutschland ist Weltmeister – beim mobilen Datenschutz
Softonic Antivirus-Vergleich 2013: Norton, ESET und Kaspersky gewinnen, Microsoft letzter
