VG-Wort Pixel

Dauertracking und heimliche Fotos Spionierende Apps: Das unheimliche Eigenleben Ihres Smartphones

Eine Frau knipst mit der Kamera ihres Smartphones ein Selfie
Jeder knipst gerne mit der Kamera seines Smartphones. 
© elenaleonova/Getty Images
Wenn eine App nach der Erlaubnis fragt, die Kamera zu nutzen, ist das an sich nicht ungewöhnlich. Womit aber wohl kaum einer rechnet: Smartphone-Programme können auch dann knipsen, wenn Sie nicht auf den Auslöser drücken.

Es ist eine harmlose kleine Frage "App XX möchte Zugriff auf die Kamera erhalten". Weil man sich nichts dabei denkt, tippen die meisten Nutzer auf "OK". Und ahnen gar nicht, dass sie in eine Falle getappt sein könnten. Wer sagt schließlich, dass etwa eine App nur dann Fotos schießt, wenn man gerade auf den Auslöser drückt? Das Problem: Die Genehmigungen erlauben oft viel mehr, als es auf den ersten Blick erscheint.

Wie das aussehen kann, zeigte gerade der Entwickler Felix Krause. In einer eigens gebauten iOS-App holt er sich ganz klassisch vom Nutzer die Genehmigung, auf die Kamera zuzugreifen. Doch seine App macht etwas anderes: Statt dem User ein Vorschaufenster und die Möglichkeit zum Auslösen zu bieten, schießt sie einfach selbstständig Fotos - und beginnt auch gleich, das Bild der Frontkamera live ins Internet zu streamen. Der Nutzer sieht dabei eine völlig andere Oberfläche.

Das Problem ist echt

Zunächst handelt es sich dabei um eine theoretische Lücke, die Krause nur im Labor vorführt. Apps, die sich tatsächlich so verhalten, sind aktuell noch nicht bekannt, zudem kann seine App nur dann die Kamera nutzen, wenn sie aktiv ist. Apples Betriebssystem friert Apps nach wenigen Minuten im Hintergrund automatisch ein. Ein Problem zeigt Krause, der als Entwickler bei Google arbeitet, mit seiner Aktion trotzdem auf: Die Nutzer wissen oft gar nicht genau, was die Apps mit ihren Genehmigungen anfangen und stimmen so unwissend böswilliger Nutzung zu.

Um seine Nutzer zu schützen, verbietet Apple eigentlich heimliche Aufnahmen der Kamera in seinen Entwicklerrichtlinien. Das Problem: Der Konzern kann nicht immer garantieren, dass die auch in sämtlichen über 2 Millionen Apps im App Store eingehalten werden. Zwar werden neue Apps routiniert geprüft, aber längst nicht alle Verstöße gefunden. Im Herbst 2016 wurden etwa Dutzende Fake-Apps aus China entdeckt, die vorgaben, zu bekannten Marken zu gehören, tatsächlich aber nur Nutzerdaten abfischten.

Kreativ, aber fies

Um nicht aufzufliegen, sind manche Entwickler enorm kreativ. Die in den USA beliebte Taxi-Alternative Uber fragte selbst dann ständig den Standort ab, wenn die App gar nicht benutzt wurde. Auch ein solches Verhalten verbietet Apple eigentlich. Jene Apps dürften gar nicht zugelassen werden. Uber hatte aber eine einfache Variante gefunden, die Apple-Prüfung auszutricksen: Die App unterlässt das Verhalten, wenn sie sich in 15 Kilometer Umkreis der Apple-Zentrale aufhält. Ein schockierend einfacher Trick, der nur durch Zufall aufflog, als ein Apple-Prüfer von Zuhause arbeitete.

Ganz so schlimm wie bei Google ist die Lage allerdings noch nicht. In Android, dem Smartphone-System von Krauses Arbeitgeber, stimmten die Nutzer mit dem Download von Apps aus dem App Store jahrelang auch automatisch sämtlichen Berechtigungen zu. Seit Android 6.0 muss man den Apps die Genehmigungen beim ersten Starten manuell erteilen. Leider sind viele der Benachrichtigungen gebündelt, die Berechtigung zum Einschalten des Kamera-Blitzes hängt etwa mit der Kamera zusammen. Im Klartext heißt das: Jede Taschenlampen-App kann theoretisch auch Fotos machen, sollte ein böswilliger Entwickler das wollen.

Der Spion in der Taschenlampe

Ein ganz grundlegendes Problem ist, dass viele Apps ohnehin neugieriger sind, als sie sein dürften. Unmengen von Spielen holen sich etwa Zugriff auf den Standort oder greifen die Kontakte ab. Facebooks App wurde in der Vergangenheit schon mehrfach vorgeworfen, Gespräche mitzuhören, zudem scannte die App eine Zeit lang bei jedem Start die gesamte Foto-Bibliothek - ganz unabhängig davon, ob man ein Bild posten wollte oder nicht. 

Aktuell bleibt den Smartphone-Nutzern, ob iOS oder Android, wenig übrig, als sich die Berechtigungen von Apps genau anzuschauen und für jede einzeln in den Systemeinstellungen die Berechtigungen festzulegen. Whatsapp und Instagram kommen etwa auch ohne Kamera-Zugriff aus - wenn man die Bilder immer aus der Bibliothek lädt. Ein Szenario, in der eine Taschenlampen-App Zugriff auf die Kontakte braucht, ist ohnehin schwer ausdenkbar.

Dass auch Apple ein Verhalten wie bei Ubers Überwachung als Problem ansieht, zeigte eine Änderung in iOS 11. Mit dem im September erschienenen System bekommt der Nutzer stets durch einen blauen Balken am oberen Rand gezeigt, welche App seinen Standort abruft. Vielleicht kommt bald eine ähnliche Anzeige für die Kamera. So, wie am Laptop eine Leuchte neben der Webcam selbstverständlich ist. 


Mehr zum Thema


Wissenscommunity


Newsticker