Datenübertragung auch ohne Zugriffsberechtigung
Apps ohne Berechtigungen schnüffeln auf Android-Smartphones
publiziert: Samstag, 14. Apr 2012 / 11:06 Uhr / aktualisiert: Samstag, 14. Apr 2012 / 12:02 Uhr
«Ungesicherte» Daten. (Symbolbild)
«Ungesicherte» Daten. (Symbolbild)

Manche Android-Apps beanspruchen bei der Installation keinerlei Rechte auf dem Smartphone des Anwenders. Doch Experten haben herausgefunden, dass sie trotzdem ungefragt auf dem Telefon herumschnüffeln. Sie können beispielsweise Daten auf der Speicherkarte ohne Nachfrage lesen.

5 Meldungen im Zusammenhang
Weiterführende Links zur Meldung:

NoPermissions
Blog-Eintrag mit Download
leviathansecurity.com

Über die Rechte, die manche Apps unter Android beanspruchen, hatte es in der letzten Zeit heftige Diskussionen gegeben. Auch teltarif.ch hatte sich mit dem Artikel Wozu Apps besondere Zugriffsrechte brauchen an der Diskussion beteiligt. Insbesondere in Verruf geraten waren Social-Media-Apps, die entweder ungefragt oder nach Ankündigung das Telefonbuch auslasen und ins Internet übertrugen. Doch auch die Verwendung von Apps ohne Zugriffsrechten kann Risiken bergen.

Auf der Speicherkarte sind alle Daten ungeschützt

Um den heimlichen Datenzugriffen von Apps, die bei der Installation keine Rechte beanspruchen, auf die Schliche zu kommen, hat Paul Brodeur von der Leviathan Security Group eine eigene App programmiert, die das Verhalten der installierten Anwendungen überwacht. Die Installationsdatei für seine App NoPermissions.apk stellt er auf seinem Blog zum Download bereit. Das Programm ist nicht im Google Play Store verfügbar. Ausgeführt wurde das Programm auf Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread.

Mit Hilfe von «NoPermissions» konnte Brodeur herausfinden, dass grundsätzlich jede App ohne spezielle Berechtigungen Lesezugriff auf die Speicherkarte hat. Die selbst programmierte App konnte ohne Probleme das Hauptverzeichnis «/sdcard» scannen, eine Liste aller nicht versteckten Dateien anlegen und auch die Daten selbst lesen. Für gefährlich hält Brodeur diese Zugriffsberichtigung nicht nur bei Texten und Fotos, sondern beispielsweise bei Zertifikatsdateien von VPN-Diensten, die im Test lesbar auf Brodeur's eigener SD-Card lagen.

Installierte Anwendungen samt Daten sind sichtbar

Mit Hilfe einer frei zugänglichen Indexdatei konnte Brodeur herausfinden, welche Apps auf dem Smartphone installiert waren. Auch die zu den Apps gehörenden Dateien waren lesbar, was man rein theoretisch dazu benutzen könnte, Apps auf Sicherheitslücken abzuklopfen. Eine solche Sicherheitslücke war beispielsweise letztes Jahr in der Skype-App für Android aufgetaucht.

Ohne die Berechtigung «Telefonstatus lesen und identifizieren» war es nicht möglich, die IMEI oder die IMSI auszulesen - bei den Identifikationsdaten von SIM-Karte und GSM-Netz war dies aber kein Problem. Ausserdem tauchte eine Datei auf, der man die Kernel-Version von Android und die Bezeichnung des ROM-Chips entnehmen konnte. Auch die 64-stellige Android-ID, die beim ersten Starten eines Geräts angelegt wird und danach unverändert bleibt, konnte ermittelt werden.

Schlussendlich stellt sich die Frage, was ein potenzieller Angreifer mit diesen Daten anfangen könnte, wenn keine Berechtigung für den Internetzugriff besteht. Mit dem Befehl URI ACTION_VIEW lässt sich der Browser starten; dort könnte man dann mit dem GET-Parameter in einem URI die vorher gesammelten Daten übertragen. Die von Brodeur programmierte «NoPermissions»-App konnte diesen Vorgang sogar im Hintergrund ausführen.

Bis zu einer grundlegenden Reform des Schutzes persönlicher Daten unter Android bleibt es also ratsam, keine wirklich sensiblen Daten dauerhaft auf dem Smartphone zu speichern.

(Alexander Kuch/Si)

Kommentieren Sie jetzt diese egadgets.ch - Meldung.
Lesen Sie hier mehr zum Thema
Der Schädling befindet sich in gefälschten GO Weather, Travel Sky oder E-Strong File Explorer Apps.
Die Experten der G Data SecurityLabs haben einen neuen Android-Schädling entdeckt, der unbemerkt vom Smartphone- oder Tablet- Besitzer kostenpflichtige Apps herunterlädt. mehr lesen
Zwangs-App Google+.
Nach einem System-Update unter Android befinden sich im App-Menü des Telefons mitunter neue, nicht deinstallierbare Apps. mehr lesen
Fotos in Smartphones mit dem ... mehr lesen
Fotos sind nicht sicher.
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Das Leica Leitz Phone 1 setzt neue Kameramassstäbe bei Smartphones.
Das Leica Leitz Phone 1 setzt neue Kameramassstäbe bei Smartphones.
Fotografie Der Premium-Kamerahersteller Leica bringt sein erstes Telefon auf den Markt: Das Leitz Phone 1 wird seit dem 16. Juli exklusiv in Japan verkauft. Mit dem ersten eigenen Smartphone setzt die Leica Camera AG nun auf hochqualitative, schnell teilbare Fotos für die sozialen Medien. mehr lesen  
8 Millionen Euro-Finanzspritze  Die französische Suchmaschine Quant soll das Monopol von Google in Europa brechen und den ... mehr lesen  
Qwant setzt auf europäischen Datenschutz und Privatsphäre.
Publinews Kampf dem Tracking  Nachdem Apple das ungefragte Werbetracking von Apps eingeschränkt hat, zieht nun Konkurrent Google nach. Wenn im August das neue Betriebssystem Android 12 auf die ersten Mobilgeräte gespielt wird, dann kann der/die Benutzer:in die Werbe-ID AAID vollständig vor Zugriffen verstecken und damit das Werbetracking stark erschweren. mehr lesen  
Best of Swiss Apps 2018
Bestenliste 2018  Analog zur Bestenliste im Rahmen der «Best of Swiss Web Awards» gibt es auch für «Best of Swiss Apps» eine Rangliste der Anbieter mit den meisten Punkten. Diese jährlich ... mehr lesen  
Titel Forum Teaser
  • keinschaf aus Wladiwostok 2826
    grüezi Wie lasterhaft Mitleid mitunter sein kann, beweisen Sie doch gerade ... Mo, 26.12.16 20:05
  • Kassandra aus Frauenfeld 1781
    Vom Tode träumt ein negrophiles Schäfchen doch ständig. Wenn tausende Frauen in England ... Mi, 28.09.16 11:58
  • HentaiKamen aus Volketswil 1
    Kommt wieder Aber leider eine RIESEN Verlust für Leser wie mich die nicht mit dem ... Sa, 13.08.16 01:13
  • keinschaf aus Wladiwostok 2826
    sogar nach dem Tode hat die Kassandra noch die grösste Schnauze... jaja, diese ... Fr, 12.08.16 16:30
  • Kassandra aus Frauenfeld 1781
    Wow, wie hat sich die gute Kubra gemausert! Ich danke auch Ihnen ganz persönlich für die vielen harten und ... Mi, 20.07.16 20:25
  • Pacino aus Brittnau 731
    Übrigens, wusstet ihr schon . . . . . . dass die Foren von AZ (Wanner), 20min. und Schweizer Fernsehen ... Mi, 29.06.16 15:20
  • PMPMPM aus Wilen SZ 235
    Und jetzt? Ist noch online...? Liebes news-Team, schade ist die Situation so, dass etwas aufhören ... Di, 28.06.16 22:43
  • kubra aus Berlin 3232
    Danke für die gelebte Pressefreiheit. Damit mein ich durchaus auch den ... Di, 28.06.16 16:09
 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Di Mi
Zürich 12°C 22°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen trüb und nass
Basel 13°C 22°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen bedeckt, wenig Regen
St. Gallen 10°C 20°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig gewitterhaft trüb und nass
Bern 12°C 21°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen trüb und nass
Luzern 10°C 21°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig gewitterhaft trüb und nass
Genf 10°C 23°C recht sonnigleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen trüb und nass
Lugano 15°C 25°C sonnigleicht bewölkt, ueberwiegend sonnig gewitterhaft bedeckt mit Gewittern
mehr Wetter von über 8 Millionen Orten