Über die Rechte, die manche Apps unter Android beanspruchen, hatte es in der letzten Zeit heftige Diskussionen gegeben. Auch teltarif.ch hatte sich mit dem Artikel Wozu Apps besondere Zugriffsrechte brauchen an der Diskussion beteiligt. Insbesondere in Verruf geraten waren Social-Media-Apps, die entweder ungefragt oder nach Ankündigung das Telefonbuch auslasen und ins Internet übertrugen. Doch auch die Verwendung von Apps ohne Zugriffsrechten kann Risiken bergen.

Auf der Speicherkarte sind alle Daten ungeschützt

Um den heimlichen Datenzugriffen von Apps, die bei der Installation keine Rechte beanspruchen, auf die Schliche zu kommen, hat Paul Brodeur von der Leviathan Security Group eine eigene App programmiert, die das Verhalten der installierten Anwendungen überwacht. Die Installationsdatei für seine App NoPermissions.apk stellt er auf seinem Blog zum Download bereit. Das Programm ist nicht im Google Play Store verfügbar. Ausgeführt wurde das Programm auf Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread.

Mit Hilfe von «NoPermissions» konnte Brodeur herausfinden, dass grundsätzlich jede App ohne spezielle Berechtigungen Lesezugriff auf die Speicherkarte hat. Die selbst programmierte App konnte ohne Probleme das Hauptverzeichnis «/sdcard» scannen, eine Liste aller nicht versteckten Dateien anlegen und auch die Daten selbst lesen. Für gefährlich hält Brodeur diese Zugriffsberichtigung nicht nur bei Texten und Fotos, sondern beispielsweise bei Zertifikatsdateien von VPN-Diensten, die im Test lesbar auf Brodeur's eigener SD-Card lagen.

Installierte Anwendungen samt Daten sind sichtbar

Mit Hilfe einer frei zugänglichen Indexdatei konnte Brodeur herausfinden, welche Apps auf dem Smartphone installiert waren. Auch die zu den Apps gehörenden Dateien waren lesbar, was man rein theoretisch dazu benutzen könnte, Apps auf Sicherheitslücken abzuklopfen. Eine solche Sicherheitslücke war beispielsweise letztes Jahr in der Skype-App für Android aufgetaucht.

Ohne die Berechtigung «Telefonstatus lesen und identifizieren» war es nicht möglich, die IMEI oder die IMSI auszulesen - bei den Identifikationsdaten von SIM-Karte und GSM-Netz war dies aber kein Problem. Ausserdem tauchte eine Datei auf, der man die Kernel-Version von Android und die Bezeichnung des ROM-Chips entnehmen konnte. Auch die 64-stellige Android-ID, die beim ersten Starten eines Geräts angelegt wird und danach unverändert bleibt, konnte ermittelt werden.

Schlussendlich stellt sich die Frage, was ein potenzieller Angreifer mit diesen Daten anfangen könnte, wenn keine Berechtigung für den Internetzugriff besteht. Mit dem Befehl URI ACTION_VIEW lässt sich der Browser starten; dort könnte man dann mit dem GET-Parameter in einem URI die vorher gesammelten Daten übertragen. Die von Brodeur programmierte «NoPermissions»-App konnte diesen Vorgang sogar im Hintergrund ausführen.

Bis zu einer grundlegenden Reform des Schutzes persönlicher Daten unter Android bleibt es also ratsam, keine wirklich sensiblen Daten dauerhaft auf dem Smartphone zu speichern.

(Alexander Kuch/Si)