Security & Privacy of Mobile In-App Advertisements

Bachelor Studiengang IT Security

Jakob Baumgartner, BSc (Jg. 2013/2016)

Betreuer: Dr. Markus Huber, MSc

Ausgangslage

Das Smartphone ist zu einem alltäglichen Begleiter der meisten Menschen geworden. Viele kostenlose Apps nutzen Werbung in Form von Werbebannern, um Profit für das App-Entwicklungsunternehmen zu generieren. In-App Werbung ist zu einem großen Geschäftszweig geworden, wobei viele Interessensgruppen bestehen. Werbenetzwerke versuchen ihren Profit zu maximieren, indem sie Informationen von Benutzerinnen und Benutzern sammeln. Diese Informationen werden zur Anzeige von gezielter Werbung genutzt, um das Interesse der AnwenderInnen zu reflektieren. Durch die große Anzahl an Apps und Werbenetzwerken in den „Markets“ ist es kaum möglich zu überprüfen, ob die Privatsphäre von Benutzerinnen und Benutzern geschützt wird. Durch die unterschiedliche Implementierung stehen Werbenetzwerken größere Möglichkeiten bereit als bei bereits gut untersuchten Werbeanzeigen im Web.

Ziel

Ziel war es herauszufinden, wie es um die aktuelle Lage der In-App Werbung in Bezug auf Sicherheit und Privatsphäre der BenutzerInnen steht. So sollte aufgezeigt werden, welche Daten übermittelt werden, ob Werbeagenturen auf diese Daten zugreifen können, ob diese Daten sicher übertragen werden und ob es andere Sicherheitsprobleme gibt.

Ergebnis

Da es eine große Anzahl von Werbenetzwerken gibt (die Summe beläuft sich auf über 400), ist es unmöglich, alle genauer zu analysieren. Daher wurden exemplarisch drei große Vertreter am Werbemarkt hergenommen und genauer auf den Plattformen Android und iOS untersucht.

Neben übertragenen Gerätedaten wie Bildschirmgröße oder Netzbetreiber konnten auch kritische Daten beobachtet werden. So nutzt ein Werbenetzwerk beispielsweise die genaue Position der NutzerInnen, wenn die App diese Daten für andere Zwecke schon verwendet. Oft ist eine Steuerung der übertragenen personenbezogenen Daten durch die App-EntwicklerInnen möglich. So können diese etwa Geschlecht, Alter, Benutzername oder Beziehungsstatus mitangeben. Es liegt im Ermessen der EntwicklerInnen, welche Daten ihrer Kundschaft an Werbenetzwerke weitergegeben werden.

Eine sichere Übertragung ist in den meisten Fällen vorhanden, wird aber für den Inhalt des Werbebanners nicht erzwungen. Des Weiteren wurde gezeigt, dass Werbeagenturen oft Zugriff auf dieselben Daten wie Werbenetzwerke haben. Im Rahmen dieser Arbeit wurde eine Sicherheitsschwachstelle, welche den Zugriff auf lokale Dateien und lokale Netzwerkressourcen ermöglicht, in einem populären Werbe-SDK gefunden. Auch auf potenzielle Schwachstellen von Werbebannern wurde eingegangen. Diese wurden in der Vergangenheit beobachtet, können durch die große Anzahl an Werbenetzwerken jedoch schwer verhindert werden.