Das Thema Energiesparen ist derzeit in aller Munde. Davon profitieren auch App-Entwickler, die Smartphone-Nutzern dabei helfen, ihren persönlichen Energieverbrauch zu messen und gegebenenfalls zu reduzieren.
Laut den Untersuchungen von Appvisory sind einige dieser Apps jedoch in Bezug auf Datenschutz und Sicherheit unzureichend. Das deutsche Unternehmen hat laut einer Mitteilung drei der beliebtesten Energiesparanwendungen stichprobenartig analysiert. Fazit der Tester: Aus datenschutzrechtlicher Sicht ist keine der drei Apps zu empfehlen.
Zugriff und Standort des Mikrofons
Konkret hat Appvisory die drei Apps „EnergieCheck“, „Energy Buddy“ und „Energy Tracker“ unter die Lupe genommen. Letzteres gibt es für iOS, die beiden anderen auch für Android-Smartphones. Alle drei Apps erlauben es laut ihrer Beschreibung, den eigenen Energieverbrauch zu erfassen. Je nach Anwendung geben Nutzer Daten (z. B. vom Stromzähler) manuell ein, fotografieren den Bildschirm eines Messgeräts oder scannen die Rechnung des Strom- oder Wasserversorgers.
Das Unternehmen kritisiert die beantragten Zugriffsberechtigungen für alle drei Apps. Beispielsweise fordert „EnergieCheck“ den Zugriff auf das Mikrofon und den Standort des Benutzers an. Zwei der drei Apps liefern nie plausible Gründe für diese Zugriffsanfragen, kritisiert Appvisory, und „EnergieCheck“ hat keinen Grund, auf Standortdaten zuzugreifen. Alle drei Apps verstoßen in diesem Punkt gegen die App-Store-Richtlinie von Apple, und Nutzer sollten die Gewährung von Fixes kritisch hinterfragen.
Alle drei Apps enthalten zudem Tracking- und Analysetools, mit denen sich das Nutzerverhalten aufzeichnen lässt. Als Beispiele nennt Appvisory „Google Analytics“ und „Google Crashlytics“. Immerhin: Das Unternehmen hebt positiv hervor, dass „EnergieCheck“ und „Energy Buddy“ Nutzerdaten nur verschlüsselt an den App-Hersteller senden.
Anfällig für Angreifer
Im Fall von „EnergieCheck“ bemängeln Tester zudem, dass ihr Server beim Passwort-Reset ein neues Passwort im Klartext an die hinterlegte E-Mail-Adresse schickt. Da E-Mails abgefangen und gelesen werden können, stellt dies ein erhebliches Sicherheitsrisiko für sensible Daten dar. Außerdem verfügt die Android-Version der App nur über den v1-Signaturmechanismus. Laut Appvisory könnten Angreifer modifizierte Updates verwenden, um sie zu ändern. Die entsprechende Schwachstelle mit dem Namen „Janus-Schwachstelle“ wurde 2017 entdeckt und wird beispielsweise in diesem Blog-Beitrag beschrieben.
Negativ aufgefallen ist dagegen „Energy Buddy“, weil Appvisory erfolgreich Man-in-the-Middle-Angriffe gegen die App durchführen konnte, sich also unbemerkt in die Verbindung zwischen Smartphone und Server einklinken konnte. „So gibt es auch bei einer verschlüsselten Verbindung keine Maßnahmen, um ein gefälschtes Zertifikat und damit potenzielle kriminelle Hacker zu erkennen“, resümieren die Tester.
„Bezüglich des Datenschutzes und der Datensicherheit der getesteten Anwendungen ist Vorsicht geboten“, folgert Appvisory in der Stellungnahme und rät: „Vor dem Download sollten sie überprüft und ggf. angepasste Freigaben eingeholt werden.“
Seit der Bundesrat im Sommer vor drohender winterlicher Energieknappheit warnt, sind die Verkäufe einiger Energiespargeräte bei Digitec Galaxus geradezu explodiert. Hier erfahren Sie, welche Geräte besonders oft gekauft werden.
Wenn Sie mehr über Cyberkriminalität und Cybersicherheit erfahren möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie tagesaktuell Neuigkeiten zu aktuellen Bedrohungen und neuen Abwehrstrategien.