Nahezu jedes IoT-Produkt ist heutzutage in irgendeiner Weise mit einer dazugehörigen mobilen Applikation verknüpft, über die der Nutzer steuern, verwalten oder einrichten kann. Für unsere Sicherheitstests spielen diese Applikationen dementsprechend eine wichtige Rolle und stehen im Fokus der Untersuchung wenn es um Sicherheit und Datenschutz geht. Als ein wesentlicher Bestandteil vieler Applikationen erweisen sich damit auch die sogenannten SDKs als durchaus interessante Untersuchungsobjekte.
Als Software Development Kit (SDK) wird im allgemeinen eine Sammlung von Programmierwerkzeugen und Programmbibliotheken bezeichnet, die zur Entwicklung von Software dient. Es unterstützt Softwareentwickler, darauf basierende Anwendungen zu erstellen oder gewünschte Funktionalitäten zu nutzen ohne diese selbst vollständig von Grund auf entwickeln zu müssen. So gibt es speziell in der App-Entwicklung für Android unzählige dieser Kits, die genutzt werden können, um beispielsweise Zahlungssysteme zu integrieren, Nutzer-Support umzusetzen oder Daten zu verwalten. Für unsere Tests besonders interessant sind dabei natürlich vor allem die Kits, die Implikationen für Sicherheit und Datenschutz mitbringen und deren Vorhandensein und Aktivität in untersuchten Apps stets von uns im Auge behalten wird. Für jeden, den es interessiert, welche SDKs für Android, für bestimmte Funktionalitäten verwendet werden, wird diese Information nun über den Google Play SDK Index zur Verfügung gestellt.
Über den Index lassen sich spezifische SDKs über ihren Namen oder Anbieter suchen. Es können aber auch die unterschiedlichen Kategorien zur bereitgestellten Funktionalität direkt durchforstet werden. So kann man dann gezielt nach SDKs suchen, die beispielsweise für Marketing und Werbung eingesetzt werden oder eine Standortlokalisierung ermöglichen.
Zu einem SDK kann man sich dann hauptsächlich Informationen zur Verbreitung und Akzeptanz anzeigen lassen. Wie oft werden Applikationen mit einem bestimmten SDK integriert installiert, wie lange bleiben sie installiert und in welcher Version ist das SDK hauptsächlich verbreitet, sind die Hauptinformationen, die man hier aus den Übersichten gewinnen kann. Aber auch die Berechtigungen, die zur Realisierung der angedachten Funktionalität benötigt werden, können hier eingesehen werden.
Wir aus unserer Sicht würden uns natürlich vor allem eine Möglichkeit wünschen, zu einem bestimmten SDK alle Applikationen aufzulisten, die dieses verwenden. So ließen sich sehr schnell Auswirkungen von bekannt gewordenen Schwachstellen in SDKs abschätzen oder auch die datenschutzrechtliche Relevanz einer App einordnen. Wir könnten uns vorstellen, dass diese Informationen auch für Entwickler interessant wären, für die der Index ja ursprünglich auch hauptsächlich gedacht ist. Wir für unseren Teil werden den SDK Index zumindest erst einmal im Auge behalten, vielleicht kommt hier im Laufe der Zeit ja noch die eine oder andere nützliche Funktion hinzu.