Ärzte Zeitung online, 20.03.2014

Bremer Studie

Viele medizinische Apps nicht sicher

Bremer Forscher haben 900 Apps untersucht und dabei in vielen der Applikationen zwei erhebliche Lücken gefunden, die Datenspione für sich ausnutzen könnten - auch in medizinischen Apps.

Viele medizinische Apps nicht sicher

Weil viele Apps zu viele Berechtigungen fordern, haben es Angreifer leicht, Daten aus dem Smartphone abzugreifen oder sogar auf Funktionen des Handys zuzugreifen.

© Warakorn / fotolia.com

BREMEN. 102 Milliarden Apps wurden 2013 weltweit aus allen App-Stores heruntergeladen, so das Technologie-Zentrum Informatik und Informationssicherheit (TZI) der Universität Bremen.

Die Bremer Wissenschaftler haben für eine Studie aus Googles PlayStore exemplarisch 900 Apps namhafter Hersteller wie Microsoft, Intes, Adobe oder Siemens heruntergeladen und dann Kommunikationsverhalten und den Softwarecode analysiert. Das Ergebnis: 550 der 900 herunter geladenen Apps waren löchrig und boten Datenspionen Einfallstore.

Dabei könnten Datenspione über die Vielzahl der geforderten Berechtigungen für die Apps "Daten abgreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zugreifen", sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt. "Der Nutzer bemerkt davon nichts."

Dabei wären die Berechtigungen für die Funktionalität der App gar nicht nötig. So fanden die Informatiker bei einer App 22 Berechtigungen, von der tatsächlich nur eine gebraucht wurde, um ins Internet zu kommen. Das andere Einfallstor ist die Verschlüsselung nach dem SSL-Standard.

"Die Programmierer machen hier immer wieder Fehler, weil sie sehr komplex ist und hohe Kenntnisse erfordert", erläutert Karsten Sohr vom TZI. Datenspione nutzen dann die minimalen Sicherheitslücken, um Java-Code einzuspeisen und das Smartphone übernehmen zu können. "Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden", berichtet Liebig.

Auch medizinische Apps bieten Einfallstore

"Auch Health-Apps können betroffen sein", erklärt Dr. Urs Vito Albrecht, stellvertretender Institutsleiter des hannoverschen Standorts des P.L. Reichertz Instituts für Medizinische Informatik der Technischen Universität Braunschweig und der Medizinischen Hochschule Hannover (MHH).

"In einer eigenen Untersuchung zum Datensendungsverhalten, die wir anhand einer kleinen Stichprobe von acht Gesundheitsapps 2012 durchgeführt haben, waren nur drei in Bezug auf eine mögliche Verletzung der Privatsphäre oder Sicherheit durch Übertragung von Daten unkritisch zu werten, da hier keine Datenübertragung stattfindet", so Albrecht.

Drei weitere Apps waren im Handling der anvertrauten Daten kritisch zu bewerten, da sie die Daten unverschlüsselt übertragen. Zwei dieser Apps übermittelten identifizierende Daten ohne Wissen der Nutzer, so das Ergebnis der Studie.

Um die Lücken zu schließen, gehen Albrecht und die Bremer Forscher verschiedene Wege. Das TZI hat ein Werkzeug geschrieben, "um die gröbsten Fehler zu verhindern", sagt Sohr. Basis für sehr viele Apps ist das Framework Cordova von Apache, das meistens sehr viele Berechtigungen fordere. Das TZI hat ein Werkzeug entwickelt, "mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen", hieß es.

Albrecht dagegen schaut genau nach Datenschutzerklärungen, Gerichtsstand oder Kontaktadresse der Hersteller.

"Die Einhaltung dieser Kriterien liegt nicht nur im Interesse der Nutzer", sagt er. "Verstoßen Anbieter gegen die genannten Kriterien, riskieren sie, das Vertrauen der Nutzer zu verlieren. Zurzeit werden zudem Entwürfe für Zertifizierungen und das regulatorische Procedere im In- und Ausland diskutiert, um medizinische Apps sicherer zu gestalten." (cben)

Weitere Beiträge aus diesem Themenbereich

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Diese Aspekte schinden den Körper von Astronauten

Die Forschung auf der ISS liefert wichtige Erkenntnisse, ist aber Schwerstarbeit für den Organismus. Was passiert dabei mit dem Körper genau – und wozu das Ganze? mehr »

GBA warnt Spahn vor GKV-Systembruch

Der Versuch von Bundesgesundheitsminister Jens Spahn, Bewertungsverfahren im Gemeinsamen Bundesausschuss zu umgehen, stößt auf massive Gegenwehr – nicht nur im GBA. mehr »

§219a – Eine Reform und ihr Preis

Nach dem Beschluss im Bundestag, dürfen Ärzte künftig darüber informieren, dass sie Abtreibungen anbieten. Doch glücklich ist mit dem Kompromiss niemand. Auch nicht mit der Studie zu den Folgen einer Abtreibung. mehr »