Viele Smartphone-Apps stellen ein Sicherheitsrisiko dar. Foto: Stuart Miles /Shutterstock

Weight Watchers, DFB und wetter.de – Warnung vor den Apps

Smartphone-Apps sind für viele inzwischen zu ständigen Begleitern geworden. Richtig hilfreich werden viele von ihnen erst mit den verwendeten Nutzerdaten. Sind diese jedoch nicht ausreichend geschützt, können sie von Datensammlern oder Hackern abgefangen werden. Nicht selten sind davon sogar die populärsten Apps in den Stores von Google oder Apple betroffen. Wir zeigen drei Beispiele.

Experten für Mobile Security von mediaTest digital und TÜViT (TÜV Nord) nehmen regelmäßig populäre Apps für alle gängigen Betriebssysteme unter die Lupe. Dabei richten Sie ein besonderes Augenmerk auf unverschlüsselte Übertragung vertraulicher Informationen und Datenschutzverstöße.

Aktuell sind ihnen die drei sehr beliebten Apps „DFB“ (iOS), „wetter.de“ (Android) und „Weight Watchers“ (Android) unangenehm aufgefallen. Bei ihnen konnten die Fachleute schwerwiegende Sicherheits- und Datenschutzverstöße feststellen.

DFB (iOS), Version 2.4.3

Mit der offiziellen DFB-App bekommen Fußballfans Informationen und Neuigkeiten von der deutschen Nationalmannschaft und aus den einzelnen Fußball-Ligen.

Die iOS-App ist in jedem Fall hilfreich, um über Profis und Turniere auf dem Laufenden zu bleiben, sicherheitstechnisch ist sie jedoch äußerst problematisch, wie die Experten festgestellt haben. So werden Passwort, Benutzername, Vorname, Nachname, Adresse, Telefonnummer und E-Mail-Adresse unverschlüsselt an den App-Anbieter übertragen.

Besonders die unverschlüsselte Übertragung des Passworts birgt ziemliche Risiken, diese gehen weit über das einzelne Konto hinaus. Damit sind alle Konten bedroht, in denen das gleiche Passwort genutzt wird.

Klare Empfehlung: Die Experten von mediaTest digital raten Usern der DFB-App für iOS, ihren Account zu löschen und die App zu deinstallieren. Im Anschluss sollten unbedingt die Passwörter aller Dienste geändert werden, in denen dasselbe Passwort verwendet wird.

Klarer Tipp der Experten: Niemals dasselbe Passwort für mehrere Dienste verwenden. Zudem sollten die Passwörter regelmäßig geändert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt eine Länge von mindestens zwölf Zeichen und die Verwendung von Groß- und Kleinbuchstaben sowie Sonderzeichen.

wetter.de (Android), Version 2.0.2

Die Android-Version der Smartphone-App „wetter.de“ ist die mobile Version des Dienstes für Wetterberichte und ‑vorhersagen von RTL interactive.

Hier verhält sich die iOS-App noch relativ „harmlos“, wie die Experten berichten. Lediglich der Standort werde unverschlüsselt übertrgen. Allerdings hat es die Android-App umso mehr in sich: Hier werden die eindeutige Gerätekennung IMEI (International Mobile Equipment) sowie exakte Standortdaten unverschlüsselt an ein Werbe- und Analytics-Netzwerk übertragen.

Darüber hinaus werden Suchanfragen und die Android Werbe-ID ohne Verschlüsselung übermittelt – doch das wirkt daneben schon fast trivial.

Die IMEI fungiert als eine Art Fingerabdruck von Mobilfunk-Geräten. Sie spielt zum Beispiel beim Sperren von gestohlenen oder verloren gegangenen Mobiltelefonen eine Rolle. Die unverschlüsselte Übertragung der IMEI-Nummer an fremde Server – im Fall der Android-Version von „wetter.de“ an ein Werbe- und Analytics-Netzwerk – ermöglicht es unbefugten Dritten, Nutzerprofile zu erstellen.

Die Fachleute warnen, dass die IMEI bei fehlender Verschlüsselung für Hacker mit Leichtigkeit abzufangen sei. Auch die unverschlüsselte Übertragung von Standortdaten ist in ihren Augen bedenklich. Somit wird in Anbetracht der Sicherheitsverstöße von der Nutzung der „wetter.de“-App für Android abgeraten.

„Wetter.de“ ist hier nicht allein, insgesamt machen sich nur wenige App-Anbieter die Mühe, Lokalisierungsdaten zu verschlüsseln. Nach Möglichkeit sollte daher auf standortbasierte Informationsdienste verzichtet werden, raten die Fachleute von mediaTest digital und TÜViT.

Weight Watchers (Android), Version 3.5.3.21

Diäten und Fitnessprogramme sind weit verbreitet. Mag sich Weight Watchers als Anbieter für Diätpläne großer Beliebtheit erfreuen, die Android-App ist in den Augen der Experten in Punkto Datenschutz und Sicherheit problematisch.

So wurde im Security-Test die unverschlüsselte Übertragung der Android Geräte-ID an ein Werbe‑Netzwerk festgestellt. Außerdem übermittelt die App Standortdaten an den Anbieter sowie unverschlüsselte Suchanfragen an einen Kartendienst.

Unverschlüsselt findet auch die Übermittlung von Suchanfragen und Lebensmitteleinträgen an ein Analytics-Netzwerk statt. Weight Watchers für Android ist eine von zahlreichen Apps, die statt der von Google vorgeschriebenen Werbe‑ID die Geräte-ID zu Werbezwecken verwendet.

Für den User hat die Verwendung der Werbe-ID zwei klare Vorteile: In den Einstellungen des Smartphones kann der Verwendung der Werbe-ID widersprochen werden. Außerdem kann die Werbe-ID jederzeit zurückgesetzt werden.

Bei der Geräte-ID ist dies nicht ganz so einfach und nur über Umwege möglich. Indem Weight Watchers die Geräte-ID an ein Werbenetzwerk überträgt, widersetzt sich die App den „Google Play-Programmrichtlinien für Entwickler“ und missachtet das Recht der Nutzer auf angemessene Verwendung ihrer Daten, so die Tester.

Geschrieben von Maren

Maren Richter ist seit Jahren Expertin im Bereich Smartphones und Smartphone-Tarife. Nach ihrem IT-Studium arbeitete sie mehrere Jahre für eines der größten deutschen Telekommunikations-Unternehmen. Inzwischen ist sie als freie Beraterin und Autorin tätig. Kontakt-Möglichkeiten gibt es über Kontakt-Link unten.