[datensicherheit.de, 03.08.2016] Cyber-Kriminelle folgen stets dem Anwender und seinen Präferenzen: Ist eine App beliebt, treten Betrüger und sonstige Online-Gangster rasch auf den Plan, um daraus Kapital zu schlagen. Das habe sich laut Trend Micro in den vergangenen Wochen am Beispiel der mobilen Spiele-App „Pokémon Go“ beobachten lassen, die wegen ihres rasend schnellen Siegeszugs weltweit für Schlagzeilen gesorgt habe. Trend Micro hat nach eigenen Angaben insgesamt 149 Apps mit Bezug zu „Pokémon Go“ analysiert, die zwischen dem 8. und 21. Juli 2016 auf „Google Play“ abrufbar waren – nur elf Prozent davon seien nicht bösartig gewesen. Trend Micro habe Google über diese Apps informiert.

Werbe-App unangenehm aufgefallen

Insbesondere eine Werbe-App sei den Trend-Micro-Forschern aufgefallen, denn diese habe sich als „Pokémon“-App getarnt und vor allem Anwender aus Ländern angesprochen, in denen die beliebte Spiele-App nicht erhältlich war oder ist. Angeblich hätten die User damit die länderspezifischen Sperren umgehen und so auch in den Spielgenuss kommen können.
In Wahrheit habe diese App die Anwender jedoch nur auf andere Seiten umgeleitet, um andere, dort abrufbare Apps zu bewerben. Dieser Entwickler sei den Trend-Micro-Forschern bereits mit anderen Spielen negativ aufgefallen.

TrendMicro warnt vor unrealistischen Angeboten

Anwender sollten stets höchste Vorsicht walten lassen, wenn sie sich für Apps von unbekannten Entwicklern interessieren. Dies gelte selbst dann, wenn es deren Anwendungen in den offiziellen Android-App-Store „Google Play“ schafften. Ein Blick auf die Bewertung anderer Anwender, soweit vorhanden, könne helfen.
Wenn negative Erfahrungen und Kommentare überwiegen oder umgekehrt das Lob viel zu überschwänglich ausfällt, könnten dies konkrete Hinweise darauf sein, dass damit etwas nicht stimmt. Die „Alarmglocken“ sollten aber spätestens dann klingeln, wenn, wie bei der beschriebenen Werbe-App der Fall, unrealistische Versprechungen gemacht werden. Denn wer bietet einem schon kostenlos Premium-Inhalte wie „Pokécoins“ – die interne Währung von „Pokémon Go“ – an, für die man ansonsten viel Mühe oder echtes Geld aufwenden müsste?

Mobile Sicherheitslösung angeraten

Zudem sollten „Android“-Nutzer nicht nur darauf achten, dass die Version ihres mobilen Betriebssystems stets auf dem aktuellen Stand ist.
Vielmehr sollten sie unbedingt eine mobile Sicherheitslösung installieren, empfiehlt Trend Micro und verweist dabei auf die eigenen Produkte „Trend Micro Mobile Security Personal Edition“ oder „Mobile Security“ (für Unternehmen). Diese sorgten für zusätzlichen Schutz, indem sie bösartige oder unerwünschte Apps aufspürten und blockierten.

Weitere Informationen zum Thema:

TREND MICRO / blog.trendmicro.de
Werbe-App auf Google Play schlägt Kapital aus Pokémon Go

datensicherheit.de, 28.07.2016
Pokémon GO: Reale Datenschutz-Probleme durch virtuelle Monster

[datensicherheit.de, 28.07.2016] Datenschutz-Bedenken meldet die PSW GROUP angesichts der immer weiter um sich greifenden neuen Augmented-Reality-App „Pokémon GO“ für Smartphones an. Damit werden kleine virtuelle Monster in die reale Welt projiziert, sie kann aber auch zu unklaren Datenabflüssen führen.

„Pokémon GO“ verlangt sehr viele Zugriffsrechte

Mit Hilfe von GPS stoßen die Nutzer dieser App auf mehr als 100 „Pokémons“, die sie einfangen und gegeneinander kämpfen lassen. Vor Kurzem sei das Spiel aus den USA nach Deutschland gekommen und führe seither nahezu alle App-Charts an. Kurzweilig und spaßig sei die App wohl, dafür jedoch verlange „Pokémon GO“ sehr viele Zugriffsrechte – so greife unter „Android“ die Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus rufe „Pokémon GO“ Daten aus dem Internet sowie Netzwerkverbindungen ab, steuere den Vibrationsalarm, führe Pairing mit Bluetooth-Geräten durch, verwende Konten auf dem Gerät und deaktiviere den Ruhezustand des Smartphones.
Aufgrund der Augmented-Reality-Basis des Spiels sei die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um „Pokémon GO“ nutzen zu können, sei ein Großteil der Berechtigungen unabdingbar. „Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

Erstellung von Bewegungsprofilen

So äußere die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt würden, „die zur Identifizierung genutzt werden können“.
Welche Daten aber wie gespeichert werden, gehe nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen, erläutert Heutger. Durch die GPS-Informationen werde zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. „Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, warnt Heutger.

Datenschutzrichtlinie ganz nach dem Motto „Friss oder stirb!“

Zwar sei nicht alles an der Datenschutzrichtlinie negativ, denn immerhin sei sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren seien durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen.
Es falle jedoch auf, dass sich Niantic weitgehend unklar ausdrücke. „Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Heutger. Dies äußere sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“
Schwammig formuliert sei auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet […]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern […]“.
Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, falle der Konjunktiv extrem auf: Nahezu jeder Absatz beginne mit „Wir könnten…“. Heutgers Kritik hierzu: „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet.“
Die Datenschutzrichtlinie sei ganz nach dem Motto „Friss oder stirb!“ gestaltet: Entweder der Nutzer lasse sich gefallen, dass seine Daten wichtiger als deren Schutz seien, oder er fange gar nicht erst an zu spielen. Denn einmal angemeldet, verblieben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, würden archiviert und munter weiterverwendet. „In welchem Land das geschieht, ist unklar“, so Heutger.

© PSW Group

Christian Heutger kritisiert unklare Datenweiterverwendung

Weitere Informationen zum Thema:

PSW GROUP, 15.07.2016
Pokémon GO: virtuelle Monster bringen reelle Datenschutz-Probleme