Die Forscher von «Cybernews» haben die 14 Apps auf sensible Android-Berechtigungen getestet, um zu prüfen, ob die Airline-Apps auf den Standort des Benutzers, die Kamera, den Speicher, den Telefonstatus, das Mikrofon, die Kontakte, die Konten auf dem Gerät, Nachrichten und Anrufe zugreifen können.
Die Forschungsergebnisse zeigten, dass nicht alle Apps die Datenpunkte im Google Playstore offenlegen, die durch die von den Nutzern für die App auf ihrem Gerät erteilten Berechtigungen gesammelt werden können.
Jede Airline App hat Zugriff auf den Standort
Alle getesteten Airline Apps hatten Zugang zu einem genauen Nutzerstandort. Die meisten Fluggesellschaften gaben an, dass sie ihre Nutzer hauptsächlich aus Gründen der App-Funktionalität, der Personalisierung und des Marketings lokalisieren. Leider geben nicht alle Fluggesellschaften an, dass sie den Standort der Passagiere über Airline App erfassen.
Diejenigen, die keine Angaben machen, sind Ryanair, Fly Delta und Aegean. Spirit und Frontier Airlines geben an, dass sie nur den ungefähren Standort des Nutzers erfassen, während die Berechtigungen den Zugriff auf den genauen Standort erlauben.
Zugang zur Kamera: nur 3 von 14 Fluggesellschaften
12 von 14 getesteten Apps verfügten über eine Kamerazulassung. Allerdings legten nur drei Fluggesellschaften die Erfassung kamerabezogener Daten offen, indem sie sie als Teil der App-Funktionalität und der Sicherheits- und Compliance-Versuche bezeichneten. Andere haben es nicht offengelegt, aber die Erlaubnis ist in der App vorhanden.
Zu den Fluglinien-Apps, die nicht offenlegen, dass sie kamerabezogene Daten sammeln, gehören Air Asia, Fly Delta, Spirit Airlines, Southwest Airlines, Frontier Airlines, Singapore Airlines, Vietnam Airlines und Aegean Airlines.
Neun Airlines erwähnen nicht Speicherdaten zu sammeln
11 getestete Apps konnten den Speicher des Geräts lesen und in diesen Speicher, und eine App hatte nur die Berechtigung, die Dateien auf dem Speicher des Geräts zu lesen. Die Daten, auf die Apps zugreifen können, können vom Benutzer erstellte Dateien, Fotos, Videos, Dokumente und andere private Daten umfassen.
Wenn dies von böswilligen Akteuren ausgenutzt wird, kann es zu Datenverlusten und Verletzungen der Privatsphäre kommen.
Nur drei Fluggesellschaften gaben an, dass sie Daten im Zusammenhang mit Dateien sammeln, und behaupteten, dass diese für die Funktionalität der App, für Analysen und aus Sicherheitsgründen benötigt werden. Die übrigen neun Fluggesellschaften haben nicht erwähnt, dass sie potenziell Zugriff auf den Speicher haben.
9 von 14 analysierten Apps konnten den Telefonstatus feststellen
Die Untersuchung ergab, dass neun Airline-Apps diese Berechtigung hatten. Das Lesen von Telefonstatusinformationen gilt als sensibel, da es einer App Zugriff auf Daten gewährt, die das Gerät und den Benutzer identifizieren können. Diese Informationen können sensible Daten wie die Telefonnummer des Geräts, den Netzstatus, den Netzbetreiber, den IMEI-Code, die SIM-Karte und Informationen über den Internetanbieter enthalten.
Keine Airline gibt bekannt, dass die App Zugriff auf das Mikrophon hat
Die Forscher fanden heraus, dass vier Airline Apps diese Erlaubnis haben, aber keine der Fluglinien gibt sie im Playstore bekannt. Fluggesellschaften, die Zugriff auf das Mikrofon haben und das Sammeln von audiobezogenen Daten im Google Play Store nicht offenlegen, sind Air Asia, United Airlines, Ryanair und Singapore Airlines.
Fluggesellschaften benötigen keinen Zugriff auf die Benutzerkontakte, aber drei Anwendungen haben diesen Zugriff
Kontaktinformationen sind sensibel, da sie private Daten über Freunde, Familie, Kollegen und Bekannte enthalten können. Drei getestete Apps (AirAsia (kann lesen und schreiben), Turkish Airlines (kann nur lesen) und Vietnam Airlines (kann nur lesen) hatten jedoch Zugriff auf die Kontaktlisten der Benutzer und die damit verbundenen Informationen auf dem Gerät.
Dies ist höchst bedenklich, da die Fluggesellschaften keinen Zugriff auf die Kontakte der Benutzer benötigen, um die Reisen der Kunden zu organisieren. Keiner der App-Entwickler gibt an, dass diese Berechtigung vorhanden ist.
Ryanair kann auf Kontodaten auf dem Gerät zugreifen
Die Berechtigung zum Abrufen von Konten gewährt einer App Zugriff auf die mit dem Gerät verknüpften Konten des Benutzers. Dies würde bedeuten, dass die App eine Liste von Konten, einschliesslich E-Mail-Adressen, abrufen kann, die auf dem Gerät registriert sind, z.B. Google-, Meta-, Samsung- und andere Konten.
Einige Fluggesellschaften könnten in m Namen des Nutzers anrufen
Vier Fluggesellschaften hatten eine weitere überflüssige Erlaubnis, auf SMS und Anrufe auf den Geräten der Nutzer zuzugreifen, ohne sie offenzulegen. Apps mit einer solchen Berechtigung können im Namen des Nutzers Textnachrichten senden und Anrufe tätigen. Fluggesellschaften, die Zugriff auf SMS und Anrufe haben und dies nicht offenlegen, sind Turkish Airlines, United Airlines und Spirit Airlines. (TI)
