Wenn jede Eingabe zum Verhängnis wird
Sogenannte Tastatur-Apps bergen Risiken. Viele von ihnen sammeln persönliche Daten ihrer Nutzer und geben sie an Drittfirmen weiter.
SAARBRÜCKEN Sie tragen klangvolle Namen wie AI Type Keyboard Pro, Minuum oder Swiftkey und versprechen Funktionen, mit denen ein Smartphone von Haus aus nicht aufwarten kann: Die Rede ist von sogenannten Tastatur- oder Keyboard-Apps, die es mittlerweile zuhauf sowohl für Android-, als auch für iOS-Geräte gibt.
Sie ersetzen die hauseigene Tastatur eines Smartphones oder Tablets und werben mit Komfortfunktionen oder völlig anderen Eingabemethoden. So lassen sich bei vielen dieser Apps etwa Kurznachrichten oder Webadressen durch Wischen statt durch Tippen eingeben. Andere Apps sollen mit deutlich kleineren Tastaturen auskommen und mittels „intelligenter“Wortkorrektur sogenanntes Sloppy-Typing (etwa: „schlampiges Tippen“) ermöglichen und Fehler automatisch korrigieren. Bei den meisten dieser Apps lässt sich zusätzlich die Tastatur farblich anpassen oder sie bieten einen speziellen Nachtmodus. Das klingt zunächst vielversprechend. Doch birgt es auch gewaltiges Risikopotenzial.
Denn eine derartige App muss Zugriff auf alle Tastatureingaben haben, um zu funktionieren. Das schließt auch Benutzernamen und Passwörter von Online-Konten ein. „Auf dem iPhone müssen Nutzer einer solchen App vollen Zugriff auf das Smartphone gewähren“, sagt Salvador Rodriguez, vom Internet-Fachportal Motherboard. Diese Rechte ermöglichten den Entwicklern der App, sämtliche Eingaben auf ihre Server zu übertragen und zu speichern. „In diesem Fall stammt der Programmcode für die Tastatur nicht von Apple, sondern von irgendeinem Drittanbieter“, bestätigt Greg Brail, Mitarbeiter des Sicherheitsunternehmens Apigee. Wer genau hinter diesem Anbieter stecke und was er mit den gesammelten Daten anfange, sei für Nutzer nicht zu überprüfen, sagt Brail. „Da kommen sicher eine Menge Daten zusammen – im harmlosesten Fall nur darüber, was Nutzer im Internet tun oder wo sie sich befinden“, so die Einschätzung des Experten. „Ich könnte mir vorstellen, dass viele der Anbieter auf diese Weise ihr Geld verdienen.“
Aber selbst, wenn die Entwickler keine Daten weiterverkaufen, bestehen laut Lenny Zeltser, Programmierer beim Softwareentwickler Minerva Labs, Sicherheitsrisiken für Nutzer. So könnten Daten von den Servern der Anbieter gestohlen werden oder durch Programmfehler sichtbar werden. Im Sommer 2016 berichteten Nutzer von Microsofts Tastatur-App Swiftkey, dass die Wortvorschläge der App E-Mail-Adressen und Suchbegriffe anderer Nutzer enthalten hätten. Anfang Dezember dieses Jahres ereignete sich ein weiterer aufsehenerregender Fall: Laut Bob Diachenko, Softwareexperte beim Sicherheitsunternehmen Kromtech Security, waren die gespeicherten Daten von knapp 31 Millionen Nutzern der App AI Type Keyboard versehentlich für jeden sichtbar im Internet zugänglich.
„Wenn nicht erkennbar ist, wie sich eine App finanziert, sind Sie vielleicht die
Finanzierung.“
Salvador Rodriguez Fachportal Motherboard Diese hätten unter anderem Telefonnummern, E-Mail-Adressen, Klarnamen, Wohnorte und Adressbücher der Nutzer enthalten.
„Der Fall zeigt anschaulich, wie viele Daten von Tastatur-Apps gesammelt werden können“, sagt Zeltser. Besonders umfangreich könnten diese Datensammlungen werden, wenn Apps getippte Wörter erkennen und daraus Nutzerprofile erstellen. Diese als „maschinelles Lernen“bezeichnete Technik soll eigentlich dazu dienen, das Schreibverhalten von Nutzern zu analysieren und ihnen künftig Wörter und Formulierungen vorzuschlagen, die sie häufig verwenden. Viele Keyboard-Apps speichern die dafür nötigen Daten auf ihren Servern. Eine Untersuchung des Sicherheitsunternehmens Adguard kommt zu dem Ergebnis, dass sieben von zehn Keyboard-Apps, die maschinelles Lernen unterstützen, diese Daten ohne Einwilligung des Nutzers an Drittfirmen weitergeben.
Die App Go Keyboard, die im Google Playstore über 200 Millionen mal heruntergeladen wurde, sammelte laut Dennis Schirrmacher vom Fachportal Heise Security nicht nur sämtliche Nutzerdaten, sondern verschaffte sich sogar Zugriff auf Logdateien von Telefongesprächen und das Mikrofon des Smartphones. „Offenbar muss ein Nutzer dafür keine Berechtigungen abnicken, wie es eigentlich üblich ist, wenn Apps zum Beispiel auf Nachrichten zugreifen wollen“, konstatiert Schirrmacher. Außerdem soll das Programm zusätzliche Software herunterladen können – ebenfalls ohne Zustimmung des Nutzers. Nach Angaben von Adguard hat der Hersteller diese Praxis als Reaktion auf die Enthüllungen mittlerweile eingestellt.
Wer sich um seine persönlichen Daten sorgt, hat nur zwei Möglichkeiten: Entweder ganz auf Tastatur-Apps von Drittanbietern zu verzichten oder sich im Vorfeld gründlich über das Geschäftsmodell des jeweiligen Anbieters zu informieren, erklärt Salvador Rodriguez von Motherboard. „Wenn nicht erkennbar ist, wie sich eine App finanziert, sind Sie vielleicht die Finanzierung“, warnt der Sicherheitsexperte die SmartphoneNutzer.