Millionenfach installiert, millionenfach ausspioniert
Android-Virenscanner greifen private Daten ab

Hannover, 24. Februar 2014 – Antiviren-Apps versprechen, persönliche Daten beim Surfen zu schützen. Doch das Gegenteil ist der Fall. Vier von sechs getesteten Schutz-Apps für Android spionieren ihre Nutzer aus, indem sie das Surf-Verhalten an die Hersteller petzen, hat das Computermagazin c’t in seiner aktuellen Ausgabe 6/14 herausgefunden.

Wer sich einen Android-Virenscanner installiert, handelt sich oft ein ernstzunehmendes Datenschutzproblem ein. Beim Surfen melden sie die Adressen aller aufgerufenen Web-Seiten an den Hersteller. Im c’t-Test erwiesen sich ausgerechnet die beiden Gratis-Apps, die zusammen über 150 Millionen Mal installiert wurden, als besonders neugierig. „Avast Antivirus und AVG Antivirus übertragen sogar URL-Parameter, die vertrauliche Daten wie Passwörter oder Session-IDs enthalten“, sagt Ronald Eikenberg. „Damit kann man etwa in fremde Online-Shopping-Sitzungen einsteigen.“

Außerdem unterwandern fast alle Apps den verschlüsselten Datenaustausch, da sie die Datenpakete stets im Klartext an den Hersteller schicken. „Ein Schnüffler kann durch die Abfragen mühelos eigentlich gesicherte Informationen herausfinden“, erläutert c’t-Redakteur Ronald Eikenberg.

„Das Problem ist die Safe-Browsing-Funktion, die eigentlich vor dem beim Besuch potenziell bösartiger Webseiten warnen soll. Dazu kommuniziert sie allzu leichtsinnig mit einem Server des Herstellers; es werden mehr Informationen übertragen als nötig.

Die betroffenen Hersteller wollen die Sicherheitsprobleme möglichst schnell lösen. Bis dahin empfiehlt das Computer­magazin c’t den Umstieg auf andere Schutz-Apps oder aber, die Safe-Browsing-Funktion komplett abzuschalten.