So testen wir bei einem Schnelltest

Bei einem Schnelltest scannen wir die Installationsdatei einer App auf bestimmte Merkmale. Ein solcher Test ermöglicht eine grobe Einschätzung der App, die schon sehr aussagekräftig sein kann. Per Schnelltest können wir sehr viele Apps auf einmal analysieren.

Die Installationsdatei einer App

Wenn Sie eine App aus dem App-Store auf Ihrem Smartphone oder Tablet installieren, dann wird dabei eine Datei auf Ihrem Gerät abgespeichert, deren Name mit .apk endet.

Zum Beispiel "beliebigeApp.apk". In dieser Datei ist der Programmcode und viele weitere Dateien verpackt, die die App zum Funktionieren braucht.

Die Installationsdatei gibt einige Hinweise darauf, wie sich die App im tatsächlichen Betrieb verhalten könnte.

Prüfen der Berechtigungen

Alle Berechtigungen, die eine App im Laufe des Betriebs anfordern kann, sind in der Installationsdatei gelistet. Daher können Sie bei uns Schnelltest-Apps danach sortieren, ob sie bestimmte Berechtigungen anfordern können.

Berechtigungen sind nützlich, um abzuschätzen, was eine App auf keine Fall tun wird. Wenn Sie eine App installieren, die keine Berechtigung für den Zugriff auf das Adressbuch benötigt, dann können Sie sicher sein, dass diese App keine Adressdaten von Ihnen versenden wird.

Umgekehrt ist aber nicht klar, dass eine App mit dieser Berechtigung auch tatsächlich auf das Adressbuch zugreift oder gar Adressdaten über das Internent verschickt. Sie bringt nur die grundsätzliche Fähigkeit dazu mit.

Eine Liste mit Erklärungen zu den häufigsten Berechtigungen finden Sie hier.

Werbung und In-App-Käufe

Googles Play-Store gibt für jede App an, ob sie Werbung schaltet und ob In-App-Käufe möglich sind. Allerdings erlaubt Google es Nutzer*innen nicht, Apps nach diesen beiden Kriterien sortieren. Es ist also nicht möglich, sich zum Beispiel nur Apps anzeigen lassen, die keine Werbung schalten.

Diese bei Google fehlende Suchfunktion haben wir in unsere Datenbank eingebaut. Sie können also sämtliche Apps - auch die mit Schnelltest - danach durchsuchen, ob sie Werbung enthalten oder In-App-Käufe ermöglichen.

Bausteine von Trackern (SDKs)

Viele Apps enthalten neben dem eigentlichen Programmcode zusätzlich Softwarebausteine von anderen Anbietern. Im Jargon nennt man diese Bausteine "SDKs" (das steht für Software Development Kit).

Viele Firmen, die Dienstleistungen in den Feldern Werbung, Marketing oder Nutzer*innenanalyse anbieten, stellen solche Softwarebausteine zur Verfügung. Da diese Anbieter Informationen von Nutzer*innen über verschiedene Apps, Webseiten und Geräte hinweg sammeln, nennen wir sie "Tracker".

Was das Problem an diesen Bausteinen ist und welche verschiedenen Arten es gibt, erklärt mobilsicher.de im Beitrag App-Module: Wie Apps Sie verfolgen.

Die Entwickler*innen von Apps müssen diese Bausteine nur noch in die App einbauen, um die entsprechende Funktionalität zu erhalten.

Die Dateien von diesen Softwarebausteinen sind natürlich auch in der .apk-Datei enthalten. Bei vielen Anbietern wissen wir, welche Dateinamen sie für ihre Bausteine benutzen.

So können wir die Installationsdatei nach diesen speziellen Dateinamen durchsuchen, ohne dass wir die App tatsächlich installieren und benutzen müssen.

Warum kein Score für Apps mit Schnelltest?

Wenn wir einen Baustein von einem Dienstleister für Werbung, Marketing oder Nutzeranalyse finden, ist das ein deutlicher Hinweis darauf, dass die App im Betrieb zu diesem Anbieter Kontakt aufnehmen und Daten versenden wird. Bei vielen Anbietern wissen wir auch ziemlich genau, was sie tun - dann finden Sie eine entsprechende Beschreibung im App-Report verlinkt.

So erhalten Sie ein Bild davon, welche Art von Dienstleistungen der App-Anbieter in Anspruch nimmt und wie intensiv. Handelt es sich um einen einzigen Dienstleister zum schnelleren Ausliefern von Inhalten (diese benötigen in der Regel keine persönlichen Daten)?

Oder sehen Sie mehr als zehn Bausteine von Unternehmen, die Analyse und personalisierte Werbung anbieten? In diesem Fall ist die Wahrscheinlichkeit recht hoch, dass auch Daten von Ihnen gesammelt werden.

Dieses Bild ist nicht ganz zuverlässig. So haben wir schon etliche Apps mit Bausteinen gefunden, die im Betrieb gar nicht benutzt wurden. Außerdem können wir mit im Schnelltest nicht sagen, welche Daten genau an den Anbieter gesendet werden.

Und oft nehmen Apps im Betrieb zu weiteren Dienstleistern Kontakt auf, von denen wir im Schnelltest keine Bausteine finden. Das kann daran liegen, dass wir den Dateinamen noch nicht kennen oder dass der Anbieter nicht mit einem SDK arbeitet.

Allein mit Schnelltests ist eine App also nicht genau genug einzuschätzen, um einen Score zu vergeben.