Airline-Apps greifen auf sensible Daten von Smartphones zu

Ob Geschäftsreisender oder Urlauber, die sensiblen Daten auf dem Smartphone sind vor dem Zugriff von Airline-Apps nicht sicher. Das Haben Forscher von Cybernews herausgefunden. Betroffen sind offensichtlich weniger die Apple-Geräte, umso mehr alle anderen mit dem Betriebssystem Android.

Alle getesteten Airline Apps hatten Zugang zu einem genauen Nutzerstandort. Die meisten Fluggesellschaften gaben an, dass sie ihre Nutzer hauptsächlich aus Gründen der App-Funktionalität, der Personalisierung und des Marketings lokalisieren. Doch geben längst nicht alle Fluggesellschaften an, dass sie den Standort der Passagiere über Airline App erfassen.

Diejenigen, die keine Angaben machen, sind Ryanair, Fly Delta und Aegean. Spirit und Frontier Airlines geben an, dass sie nur den ungefähren Standort des Nutzers erfassen, während die Berechtigungen den Zugriff auf den genauen Standort erlauben.

Zugang zur Kamera. 12 von 14 getesteten Apps verfügten über eine Kamerazulassung. Allerdings legten nur drei Fluggesellschaften die Erfassung kamerabezogener Daten offen, indem sie sie als Teil der App-Funktionalität und der Sicherheits- und Compliance-Versuche bezeichneten. Andere haben es nicht offengelegt, aber die Erlaubnis ist in der App vorhanden. Zu den Fluglinien-Apps, die nicht offenlegen, dass sie kamerabezogene Daten sammeln, gehören Air Asia, Fly Delta, Spirit Airlines, Southwest Airlines, Frontier Airlines, Singapore Airlines, Vietnam Airlines und Aegean Airlines.

Neun Airlines erwähnen nicht Speicherdaten zu sammeln. 11 getestete Apps konnten den Speicher des Geräts lesen und in diesen Speicher, und eine App hatte nur die Berechtigung, die Dateien auf dem Speicher des Geräts zu lesen. Die Daten, auf die Apps zugreifen können, können vom Benutzer erstellte Dateien, Fotos, Videos, Dokumente und andere private Daten umfassen. Wenn dies von böswilligen Akteuren ausgenutzt wird, kann es zu Datenverlusten und Verletzungen der Privatsphäre kommen. Nur drei Fluggesellschaften gaben an, dass sie Daten im Zusammenhang mit Dateien sammeln, und behaupteten, dass diese für die Funktionalität der App, für Analysen und aus Sicherheitsgründen benötigt werden. Die übrigen neun Fluggesellschaften haben nicht erwähnt, dass sie potenziell Zugriff auf den Speicher haben.

9 von 14 analysierten Apps stellen den Telefonstatus fest. Die Untersuchung ergab, dass neun Airline-Apps diese Berechtigung hatten. Das Lesen von Telefonstatusinformationen gilt als sensibel, da es einer App Zugriff auf Daten gewährt, die das Gerät und den Benutzer identifizieren können. Diese Informationen können sensible Daten wie die Telefonnummer des Geräts, den Netzstatus, den Netzbetreiber, den IMEI-Code, die SIM-Karte und Informationen über den Internetanbieter enthalten.

Keine Airline gesteht, dass die App Zugriff auf das Mikrophon hat. Die Forscher fanden heraus, dass vier Airline Apps diese Erlaubnis haben, aber keine der Fluglinien gibt sie im Playstore bekannt. Fluggesellschaften, die Zugriff auf das Mikrofon haben und das Sammeln von audiobezogenen Daten im Google Play Store nicht offenlegen, sind Air Asia, United Airlines, Ryanair und Singapore Airlines.

Drei Anwendungen greifen auf die Benutzerkontakte zu. Kontaktinformationen sind sensibel, da sie private Daten über Freunde, Familie, Kollegen und Bekannte enthalten können. Drei getestete Apps (AirAsia (kann lesen und schreiben), Turkish Airlines (kann nur lesen) und Vietnam Airlines (kann nur lesen) hatten jedoch Zugriff auf die Kontaktlisten der Benutzer und die damit verbundenen Informationen auf dem Gerät. Dies ist höchst bedenklich, da die Fluggesellschaften keinen Zugriff auf die Kontakte der Benutzer benötigen, um die Reisen der Kunden zu organisieren. Keiner der App-Entwickler gibt an, dass diese Berechtigung vorhanden ist.

Ryanair kann auf Kontodaten zugreifen. Die Berechtigung zum Abrufen von Konten gewährt einer App Zugriff auf die mit dem Gerät verknüpften Konten des Benutzers. Dies würde bedeuten, dass die App eine Liste von Konten, einschließlich E-Mail-Adressen, abrufen kann, die auf dem Gerät registriert sind,  z.B. Google-, Meta-, Samsung- und andere Konten.

Einige Fluggesellschaften könnten in m Namen des Nutzers anrufen. Vier Fluggesellschaften hatten eine weitere überflüssige Erlaubnis, auf SMS und Anrufe auf den Geräten der Nutzer zuzugreifen, ohne sie offenzulegen. Apps mit einer solchen Berechtigung können im Namen des Nutzers Textnachrichten senden und Anrufe tätigen. Fluggesellschaften, die Zugriff auf SMS und Anrufe haben und dies nicht offenlegen, sind Turkish Airlines, United Airlines und Spirit Airlines. Quelle: Vybernews / DMM