Datenübertragung auch ohne Zugriffsberechtigung
Apps ohne Berechtigungen schnüffeln auf Android-Smartphones
publiziert: Samstag, 14. Apr 2012 / 11:06 Uhr / aktualisiert: Samstag, 14. Apr 2012 / 12:02 Uhr
«Ungesicherte» Daten. (Symbolbild)
«Ungesicherte» Daten. (Symbolbild)

Manche Android-Apps beanspruchen bei der Installation keinerlei Rechte auf dem Smartphone des Anwenders. Doch Experten haben herausgefunden, dass sie trotzdem ungefragt auf dem Telefon herumschnüffeln. Sie können beispielsweise Daten auf der Speicherkarte ohne Nachfrage lesen.

5 Meldungen im Zusammenhang
Weiterführende Links zur Meldung:

NoPermissions
Blog-Eintrag mit Download
leviathansecurity.com

Über die Rechte, die manche Apps unter Android beanspruchen, hatte es in der letzten Zeit heftige Diskussionen gegeben. Auch teltarif.ch hatte sich mit dem Artikel Wozu Apps besondere Zugriffsrechte brauchen an der Diskussion beteiligt. Insbesondere in Verruf geraten waren Social-Media-Apps, die entweder ungefragt oder nach Ankündigung das Telefonbuch auslasen und ins Internet übertrugen. Doch auch die Verwendung von Apps ohne Zugriffsrechten kann Risiken bergen.

Auf der Speicherkarte sind alle Daten ungeschützt

Um den heimlichen Datenzugriffen von Apps, die bei der Installation keine Rechte beanspruchen, auf die Schliche zu kommen, hat Paul Brodeur von der Leviathan Security Group eine eigene App programmiert, die das Verhalten der installierten Anwendungen überwacht. Die Installationsdatei für seine App NoPermissions.apk stellt er auf seinem Blog zum Download bereit. Das Programm ist nicht im Google Play Store verfügbar. Ausgeführt wurde das Programm auf Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread.

Mit Hilfe von «NoPermissions» konnte Brodeur herausfinden, dass grundsätzlich jede App ohne spezielle Berechtigungen Lesezugriff auf die Speicherkarte hat. Die selbst programmierte App konnte ohne Probleme das Hauptverzeichnis «/sdcard» scannen, eine Liste aller nicht versteckten Dateien anlegen und auch die Daten selbst lesen. Für gefährlich hält Brodeur diese Zugriffsberichtigung nicht nur bei Texten und Fotos, sondern beispielsweise bei Zertifikatsdateien von VPN-Diensten, die im Test lesbar auf Brodeur's eigener SD-Card lagen.

Installierte Anwendungen samt Daten sind sichtbar

Mit Hilfe einer frei zugänglichen Indexdatei konnte Brodeur herausfinden, welche Apps auf dem Smartphone installiert waren. Auch die zu den Apps gehörenden Dateien waren lesbar, was man rein theoretisch dazu benutzen könnte, Apps auf Sicherheitslücken abzuklopfen. Eine solche Sicherheitslücke war beispielsweise letztes Jahr in der Skype-App für Android aufgetaucht.

Ohne die Berechtigung «Telefonstatus lesen und identifizieren» war es nicht möglich, die IMEI oder die IMSI auszulesen - bei den Identifikationsdaten von SIM-Karte und GSM-Netz war dies aber kein Problem. Ausserdem tauchte eine Datei auf, der man die Kernel-Version von Android und die Bezeichnung des ROM-Chips entnehmen konnte. Auch die 64-stellige Android-ID, die beim ersten Starten eines Geräts angelegt wird und danach unverändert bleibt, konnte ermittelt werden.

Schlussendlich stellt sich die Frage, was ein potenzieller Angreifer mit diesen Daten anfangen könnte, wenn keine Berechtigung für den Internetzugriff besteht. Mit dem Befehl URI ACTION_VIEW lässt sich der Browser starten; dort könnte man dann mit dem GET-Parameter in einem URI die vorher gesammelten Daten übertragen. Die von Brodeur programmierte «NoPermissions»-App konnte diesen Vorgang sogar im Hintergrund ausführen.

Bis zu einer grundlegenden Reform des Schutzes persönlicher Daten unter Android bleibt es also ratsam, keine wirklich sensiblen Daten dauerhaft auf dem Smartphone zu speichern.

(Alexander Kuch/Si)

Kommentieren Sie jetzt diese egadgets.ch - Meldung.
Lesen Sie hier mehr zum Thema
Der Schädling befindet sich in gefälschten GO Weather, Travel Sky oder E-Strong File Explorer Apps.
Die Experten der G Data SecurityLabs haben einen neuen Android-Schädling entdeckt, der unbemerkt vom Smartphone- oder Tablet- Besitzer kostenpflichtige Apps herunterlädt. mehr lesen
Zwangs-App Google+.
Nach einem System-Update unter Android befinden sich im App-Menü des Telefons mitunter neue, nicht deinstallierbare Apps. mehr lesen
Fotos in Smartphones mit dem ... mehr lesen
Fotos sind nicht sicher.
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Best of Swiss Apps 2018
Best of Swiss Apps 2018
Bestenliste 2018  Analog zur Bestenliste im Rahmen der «Best of Swiss Web Awards» gibt es auch für «Best of Swiss Apps» eine Rangliste der Anbieter mit den meisten Punkten. Diese jährlich veröffentlichte ausführliche Darstellung der Schweizer Apps-Branche basiert auf dem Medaillenspiegel aller «Best of Swiss Apps»-Editionen. Die Bestenlisten von 'Best of Swiss Apps' und 'Best of Swiss Web' stehen jeweils für sich. mehr lesen 
Neue Domainendung am Start  Wir bieten wunderbare neue Möglichkeiten für innovative Startups und etablierte Applikationsanbieter im In- und Ausland. Attraktive deinname.app Domains können nun ab sofort für ... mehr lesen
.app Domains jetzt registrieren
Face4Job  Der junge italienische Hochschulabgänger Alessio Romeo hat mit Face4Job eine neue, als Arbeitsvermittlung dienende Online-Plattform entwickelt. mehr lesen  
Titel Forum Teaser
  • keinschaf aus Wladiwostok 2826
    grüezi Wie lasterhaft Mitleid mitunter sein kann, beweisen Sie doch gerade ... Mo, 26.12.16 20:05
  • Kassandra aus Frauenfeld 1781
    Vom Tode träumt ein negrophiles Schäfchen doch ständig. Wenn tausende Frauen in England ... Mi, 28.09.16 11:58
  • HentaiKamen aus Volketswil 1
    Kommt wieder Aber leider eine RIESEN Verlust für Leser wie mich die nicht mit dem ... Sa, 13.08.16 01:13
  • keinschaf aus Wladiwostok 2826
    sogar nach dem Tode hat die Kassandra noch die grösste Schnauze... jaja, diese ... Fr, 12.08.16 16:30
  • Kassandra aus Frauenfeld 1781
    Wow, wie hat sich die gute Kubra gemausert! Ich danke auch Ihnen ganz persönlich für die vielen harten und ... Mi, 20.07.16 20:25
  • Pacino aus Brittnau 731
    Übrigens, wusstet ihr schon . . . . . . dass die Foren von AZ (Wanner), 20min. und Schweizer Fernsehen ... Mi, 29.06.16 15:20
  • PMPMPM aus Wilen SZ 235
    Und jetzt? Ist noch online...? Liebes news-Team, schade ist die Situation so, dass etwas aufhören ... Di, 28.06.16 22:43
  • kubra aus Berlin 3232
    Danke für die gelebte Pressefreiheit. Damit mein ich durchaus auch den ... Di, 28.06.16 16:09
Rund 50 Prozent der beleidigenden Tweets werden von Frauen gesendet. (Symbolbild)
DOSSIER Social Media Frauenfeindlichkeit auf Twitter bleibt ein Problem Auch wenn der Twitter-CEO Dick Costello ...
 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Sa So
Zürich 11°C 26°C freundlichleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Basel 12°C 27°C recht sonnigleicht bewölkt, ueberwiegend sonnig sonnig sonnig
St. Gallen 14°C 23°C freundlichleicht bewölkt, ueberwiegend sonnig recht sonnig Wolkenfelder, kaum Regen
Bern 11°C 25°C recht sonnigleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Luzern 15°C 24°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig recht sonnig Nebel
Genf 15°C 26°C recht sonnigleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Lugano 18°C 24°C gewitterhaftleicht bewölkt, ueberwiegend sonnig gewitterhaft vereinzelte Gewitter
mehr Wetter von über 8 Millionen Orten