So lasch gehen Energiespar-Apps mit dem Datenschutz um

Das Thema Energiesparen ist aktuell in aller Munde. Davon profitieren auch die Entwickler von Apps, die Smartphone-Nutzerinnen und -nutzern dabei helfen, ihren persönlichen Energieverbrauch zu messen und, wo möglich, zu reduzieren.

Allerdings lassen einige dieser Apps hinsichtlich Datenschutz und -sicherheit zu wünschen übrig, wie eine Untersuchung von Appvisory zeigt. Das deutsche Unternehmen analysierte per Stichprobe drei der beliebtesten Energiespar-Apps, wie es in einer Mitteilung heisst. Das Fazit der Tester: Aus datenschutzrechtlicher Sicht könne man keine der drei Apps weiterempfehlen.

Zugriff auf Mikrofon und Standort

Konkret untersuchte Appvisory die drei Apps "EnergieCheck", "Energy Buddy" und "Energy Tracker". Letztere gibt es für iOS-, die anderen beiden auch für Android-Smartphones. Alle drei Apps ermöglichen es laut deren Beschreibung, den eigenen Energieverbrauch zu erfassen. Je nach App geben Nutzer und Nutzerinnen die Daten (beispielsweise vom Stromzähler) manuell ein, fotografieren sie vom Display eines Messinstruments ab oder scannen die Rechnung des Strom- oder Wasserlieferanten ein.

Bei allen drei Apps bemängelt das Unternehmen die angefragten Zugriffsberechtigungen. So fordert "EnergieCheck" etwa Zugriff auf das Mikrofon und den Standort des Nutzers. Zwei der drei Apps liefern in keinem Fall plausible Begründungen für diese Zugriffsanfragen, kritisiert Appvisory, und bei "EnergieCheck" fehlt eine Begründung für den Zugriff auf die Standortdaten. Alle drei Apps verletzten in diesem Punkt die App-Store-Richtlinie von Apple, und Nutzerinnen und Nutzer sollten das Erteilen der Berichtigungen kritisch hinterfragen.

Ebenfalls alle drei Apps enthalten Tracker- und Analysetools, mit denen das Nutzungsverhalten aufgezeichnet werden kann. Als Beispiel nennt Appvisory "Google Analytics" sowie "Google Crashlytics". Immerhin: Positiv hebt das Unternehmen hervor, dass "EnergieCheck" und "Energy Buddy" Daten der Nutzerinnen und Nutzer nur verschlüsselt an den App-Hersteller senden.

Anfällig für Angreifer

Bei "EnergieCheck" monieren die Tester weiter, dass deren Server im Zuge eines Passwort-Resets ein neues Passwort in Klartext an die hinterlegte Email-Adresse sendet. Da Emails abgefangen und gelesen werden können, stelle dies ein grosses Sicherheitsrisiko für die sensiblen Daten dar. Ausserdem sei die Android-Version der App nur mit dem Signaturmechanismus v1 versehen. Laut Appvisory könnten Angreifer sie dadurch durch modifizierte Updates verändern. Die entsprechende Schwachstelle namens "Janus vulnerability" wurde 2017 entdeckt und ist zum Beispiel in diesem Blogbeitrag beschrieben.

"Energy Buddy" fiel dagegen dadurch negativ auf, dass Appvisory erfolgreiche Man-In-The-Middle-Attacken gegen die App durchführen, sich also unbemerkt in die Verbindung zwischen Smartphone und Server einklinken konnte. "Das heisst, dass auch bei einer verschlüsselten Verbindung keine Massnahmen vorhanden sind, die ein falsches Zertifikat und damit potenzielle kriminelle Hacker erkennen", fassen die Tester zusammen.

"Bei den getesteten Apps ist hinsichtlich Datenschutz und Datensicherheit Vorsicht geboten", schlussfolgert Appvisory in der Mitteilung und rät: "Vor dem Download sollten unbedingt die angeforderten Genehmigungen geprüft und gegebenenfalls angepasst werden."

Seit der Bundesrat im Sommer vor der drohenden Energiemangellage im Winter gewarnt hat, sind bei Digitec Galaxus die Absätze einiger Stromspargadgets geradezu explodiert. Welche Geräte besonders oft gekauft werden, erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.