Werbefinanzierte Apps

"No money, no honey", heißt es für den Entwickler. Auch er muss von etwas leben – und nicht jeder Entwickler betrachtet die Erstellung von Apps als reines Hobby. Manch einer möchte daher seine erbrachte Leistung gern honoriert sehen. Da leider nicht jeder Anwender bereit ist, für selbige ein paar Cent zu investieren, muss eine Alternative her.

"Jeder Depp hat 'ne App" – das ist auch den Betreibern von Werbe-Netzwerken kein Geheimnis mehr. Und so kommen die Beiden zusammen: Werbenetzwerke stellen fertige "Werbe-Module" bereit, die von Entwicklern lediglich in ihre Apps eingebunden werden müssen. Auf den ersten Blick eine typische Win-Win-Situation, wären da nicht gewisse Nebeneffekte...

Schauen wir uns beispielsweise einmal an, welche Voraussetzungen derartige Werbe-Module verlangen. Für MobFox und AdMob, zwei der größten Kandidaten, beschreibt dies ein Artikel bei TechRepublik. Diese beiden Werbe-Module fordern folgende Berechtigungen:

Die geforderten Zugriffs-Berechtigungen lassen sich vom "guten Cop" durchaus alle positiv erklären. Sollte er also Recht haben, wäre dagegen gar nichts einzuwenden. Wie der "böse Cop" allerdings aufzeigt, ist das Missbrauchs-Potential nicht gerade gering: Mit den so verfügbaren Daten lässt sich ein umfangreiches Anwender-Profil erstellen (und sicher auch gut verkaufen). Da mag der Entwickler der App noch so vertrauenswürdig sein: Er hat kaum Einfluss darauf, was die Werbemodule treiben. Oftmals ist ihm diese Problematik nicht einmal bewusst. Und nicht nur diese Problematik, denn es kommt noch schlimmer:

Da App und Werbe-Modul aus Android-Sicht eine Einheit bilden, erhält das Werbemodul auch alle Berechtigungen, die der Entwickler für die App vorgesehen hat. Darf die App also z. B. auf Kalender und Adressbuch zugreifen, stehen Termine und Kontakte auch dem Werbemodul offen.

Ist das nun lediglich ein theoretisches Risiko – oder müssen wir uns wirklich Sorgen machen? Wo solches Potential lauert, bleibt es sicher nicht lange ungenutzt. Und so schreibt FirstPost von einer Studie: 100.000 Apps wurden hinsichtlich der von ihnen verwendeten Werbemodule untersucht. 48% sammelten die Standort-Informationen, 18,5% die IMEI, 4% sogar die Telefonnummern. Einzelne Werbemodule wurden dabei ertappt, Anruf-Protokolle auszulesen, auf Kalender und Kamera zuzugreifen, oder dynamisch weiteren Programm-Code nachzuladen. Die Schlussfolgerung ist daher naheliegend:

The new findings point to a flaw in the business model behind apps, Jiang says. Developers rely on revenue from ad libraries to support free apps, but they have no control over what those libraries do. "The current model of embedding ad libraries in mobile apps for monetization purposes poses security and privacy risks. These ad libraries will essentially have the same set of permissions granted to the apps that enclose them. And certain ad libraries may abuse them for other unwanted purposes."

Zu gut Deutsch:

Diese neuen Ergebnisse zeigen eine Schwachstelle im Geschäftsmodell hinter Apps auf, so Jiang (Xuxian Jiang leitete die Untersuchung, Anm. d. Ü.). Entwickler sind auf die Einnahmen über die Werbemodule angewiesen, um ihre Apps gratis zur Verfügung stellen zu können – aber sie haben keinerlei Kontrolle darüber, was diese Module tun. "Das aktuelle Modell des Einbettens von Werbemodulen in mobilen Apps zu deren Finanzierung stellt eine Gefahr der Sicherheit und der Privatsphäre dar. Diese Werbemodule können prinzipiell auf dieselben Berechtigungen zugreifen wie die App, in der sie eingebettet sind. Und gewisse Werbemodule könnten sie zu unerwünschten Zwecken missbrauchen."

Für den eingangs genannten Artikel bei TechRepublik wurde übrigens auch eine Befragung durchgeführt. Den Teilnehmern wurden einige Beispiele eingeblendeter Werbung gezeigt. Anschließend wurde ihnen erklärt, wie man die von einer App geforderten Berechtigungen liest. Zuletzt kam die Frage: Kann das Werbemodul (wörtlich: die Werber, also die Firmen dahinter) auf sämtliche Informationen zugreifen, die der App selbst zur Verfügung stehen? 16% der Befragten antworteten mit "Nein", 42% wussten keine Antwort. Nur 42% der Teilnehmer sagten "Ja". Wie wir gesehen haben, lag die letzte Gruppe – leider – richtig.

Nur beschränkt sich dieses Problem nicht auf "wenige Einzelfälle". Häufig sind selbst die Programmierer ahnungslos, welchen Risiken sie ihre User aussetzen – wie Spiegel unter Berufung auf eine FireEye-Untersuchung beschreibt. Heise sagt es angesichts der gleichen Quelle mit einfachen Worten: Android-Adware soll mehr als 200 Millionen Nutzer gefährden. Wer an weiteren Details und Quellen zu diesem Thema interessiert ist: In einem Artikel bei StackExchange habe ich einiges zusammengetragen.

Wie kann man sich schützen?

Zuerst einmal gilt es, mögliche Kandidaten aufzuspüren – wofür sich mehrere Helferlein gern zur Verfügung stellen. In Sachen Werbemodule dürfte AppBrain Ad Detector besonders interessant sein: Wie der Name es richtig vermuten lässt, hat sich diese App auf das Aufspüren von Werbemodulen spezialisiert. Dabei wird auch aufgezeigt, was diese im Einzelnen tun. Lookout Ad Network Detector informiert zusätzlich über das Verhalten der jeweiligen Netzwerke. Die "Treffermenge" war in meinem Kurzvergleich identisch. Während AppBrain die schönere Oberfläche bietet, finden sich bei Lookout jedoch die detaillierteren Informationen – einschließlich der Möglichkeit eines "Opt-Out", so denn das betroffene Werbenetzwerk diese bietet. Ein Vorteil des AppBrain Ad Detectors: Hier werden auch neu eintreffende (also neu installierte oder aktualisierte) Apps automatisch geprüft; bei Bedenken erfolgt ein entsprechender Hinweis im Benachrichtigungs-Bereich (aka "Notification Area").

AppBrain Ad Detector Lookout Ad Network Detector
Mit AppBrain Ad Detector und Lookout Ad Network Detector fühlt man den Werbe-Modulen auf den Zahn
Addons Detector
Addons Detector

Wer sich nicht allein auf Werbe-Module konzentrieren will, greift vielleicht eher zu Addons Detector – welcher sich auch mit Lizenz-Modulen, Analytics, und weiteren auskennt.

Hat man "furchterregende Übeltäter" entdeckt, stellt sich die Frage, wie man mit ihnen umgeht. Natürlich kann man die betroffenen Apps einfach deinstallieren – das wäre zwar die einfachste, aber nicht unbedingt die wünschenswerteste Lösung. Ein vernünftiger erster Schritt, so man die App weiter nutzen möchte, ist ein Blick in den Google Playstore: Gibt es evtl. eine Kaufversion, die ohne das gefährliche Addon auskommt? Die paar Cent tun niemandem weh. Bei fehlender Kreditkarte hilft die Google-Play Guthabenkarte oder eine Anfrage beim Entwickler, der eventuell auch eine alternative Bezahlmöglichkeit sieht. Bei der Gelegenheit sollte man ihn auch gleich auf den Grund aufmerksam machen – er könnte durchaus zu jenen 58% gehören, denen dieser Umstand noch gar nicht bewusst ist. In diesem Fall schaut er sich ggf. nach einem weniger gefährlichen Werbemodul um.

Greift all dies nicht: Auch andere Mütter haben schöne Töchter. Im Playstore finden sich mit Sicherheit weitere Alternativen. Und auch wenn diese etwas kosten: Ein paar Cent sollte einem die Privatsphäre schon Wert sein. Findet sich auch dort nichts, gibt es noch die alternativen Märkte...

Bei Kombinationen aus besonders aggressiver Werbung (Statusleiste, Icons auf dem Homescreen, Lesezeichen) sollte man darüber hinaus nicht vergessen, dies Google zu melden. Die aktuellen Richtlinien des Google Play Store verbieten solcherlei Aktivitäten nämlich ausdrücklich:

Eine Sache hätte ich fast vergessen: Die Abo-Fallen, in die so mancher durch (versehentliches) Antippen eines Werbebanners bereits geraten ist. Davor schützt die sogenannte Drittanbietersperre, wie die Sperrung des "mobile payment" für solche Fälle genannt wird. Nach § 45d Abs. 3 TKG sind die Mobilfunkanbieter seit dem 10.5.2012 gesetzlich verpflichtet, einer entsprechenden Forderung seitens ihrer Kunden unentgeltlich nachzukommen. Außerdem ist es u. U. auch hier wieder angebracht, die entsprechende App bei Google zu melden. Die genannten Richtlinien besagen nämlich auch: Interstitial-Anzeigen müssen einfach und gut sichtbar geschlossen werden können, ohne dass dies Nachteile für den Nutzer oder einen ungewollten Klick zur Folge hat.