Sicherheitsrisiko in Android Anwendungen können Daten auslesen

Das Anfang März 2012 entdeckte Sicherheitsrisiko in Android ist vermutlich größer als bisher vermutet. Android-Anwendungen können unbeschränkt alle Daten im USB-Speicher auslesen. Bisher war nur bekannt, dass Android-Anwendungen direkt auf Fotos zugreifen können.

Anzeige

Nachdem die New York Times Anfang des Monats aufgedeckt hatte, dass jede Android-Anwendung ohne Zustimmung des Anwenders auf die auf dem Gerät gespeicherten Fotos zugreifen kann, hat sich das Piratenpartei-Mitglied Jan Schejbal den Fall näher angesehen. Nach seinen Recherchen ist das Sicherheitsrisiko deutlich größer. Denn Android-Anwendungen können demnach ohne jede Nachfrage alle Daten im USB-Speicher eines Android-Geräts auslesen. Lediglich für das Schreiben in den USB-Speicher gibt es von Google eine Abfrage und Anwender müssen dem erst zustimmen.

Wenn eine Anwendung dann noch die Berechtigung erhalten hat, auf das Internet zuzugreifen, könnten Unbefugte alle Daten im USB-Speicher auslesen und sich zusenden. Wie auch im Fall des Auslesens von Fotos ist bisher nicht bekannt, ob eine Anwendung dies bereits ausnutzt und auf diesem Weg möglicherweise vertrauliche Daten sammelt. Nach Vermutungen von Schejbal könnte das Auslesen von Daten auch für Speicherkarten gelten.

Google hatte angekündigt, dass bald eine Funktion in Google integriert wird, wonach Android-Anwendungen um Erlaubnis fragen müssen, wenn sie auf Daten im USB-Speicher zugreifen dürfen. Einen Zeitplan dafür nannte der Android-Macher jedoch nicht. Auch ist unklar, für welche Android-Versionen ein Update erscheinen wird, um den Fehler zu beseitigen. Den Zugriff auf Fotos durch Anwendungen begründete Google vor knapp zwei Wochen damit, dass die ersten Android-Geräte Fotos noch auf einer Speicherkarte ablegten und Anwendungen darauf nicht ohne weiteres zugreifen dürften. Mittlerweile werden Fotos aber immer häufiger auf einer Speicherkarte oder dem immer häufiger üblichen internen Speicher eines Android-Geräts abgelegt, auf den Anwendungen offenbar unbeschränkten Zugriff haben.

Die Sicherheitsgefahr wird voraussichtlich noch viele Monate bei zahlreichen Android-Geräten am Markt bestehen. Denn die Gerätehersteller brauchen oft Monate, bis sie ein Update auf eine aktuelle Android-Version veröffentlichen. Falls Google den Fehler ausschließlich in dem aktuellen Android 4.0 alias Ice Cream Sandwich beseitigt, werden alle Gerätebesitzer dauerhaft mit dem Problem leben müssen, wenn ihr Gerätehersteller kein Update auf Android 4.0 anbietet.

Kommentarübersicht
Re: hat niemand die doku gelesen?
Xstream 15. Mär 2012

nein, die anleitung ist bedeutungslos. weder redakteure noch entwickler kümmern sich...

Re: Toll und morgen entdecken wir ...
0xDEADC0DE 15. Mär 2012

Den Unsinn erzählst, da stand "eines Benutzers" und nicht "des angemeldeten Benutzers...

Re: Hätte ich mir nicht anders gedacht.
bstea 14. Mär 2012

Das Betriebssystem verwaltet welche Programme Zugriff auf bestimmte Verzeichnisse haben...

Re: golem auch nicht...
kendon 14. Mär 2012

wenn natürlich die zivilisation untergeht wenn man die app nicht installiert, ja dann ist...

[OT] Whatsup nur auf bestimmte Kontakte...
teleborian 14. Mär 2012

Ist Oftopic und betrifft den unbegrenzten Zugriff von Whatsup auf die Kontakte. Gibt es...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Projektleiter Online Solutions (m/w)
    Verlagsgruppe Deutscher Apotheker Verlag, Stuttgart
  2. System- und Netzwerkadministrator (m/w)
    Global Group Dialog Solutions AG, Idstein
  3. Lotus-Notes-Entwickler (m/w)
    Volksbank Freiburg eG, Freiburg
  4. Datenbank Entwickler - MS SQL (m/w)
    Zentralinstitut für die kassenärztliche Versorgung in der Bundesrepublik Deutschland, Köln

 

Detailsuche

Folgen Sie uns
       
Videos
Geld verschicken via Gmail und Google Wallet Geld verschicken via Gmail und Google Wallet
Ticker
  1. MQ-4C Triton

    Aufklärungsdrohne der US-Marine fliegt zum ersten Mal

  2. Temash, Kabini, Richland

    AMDs mobile APUs von 4 bis 35 Watt sind da

  3. Xbox One

    Hauseigene Halo-Konkurrenz und neues Altes von Rage

  4. Quantified Self

    Alkoholmessgerät für das Smartphone

  5. Kim Dotcom

    "Google, Facebook, Twitter verletzen mein Patent"

  6. Samsung

    10 Millionen Galaxy S4 in weniger als einem Monat verkauft

  7. Innodisk

    Winzige NanoSSD erreicht 480 MByte/s

  8. München

    Limux bleibt technisch anspruchsvoll

  9. Android

    Updates für Google Drive und Chrome

  10. KDE Plasma Workspaces

    4.11 wird letzte Version vor Qt5-Wechsel

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Cyberwar
Tallinn-Manual: Regierung äußert sich zu Nato-Regeln zum Töten von Hackern
Tallinn-Manual
Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

Das Tallinn-Manual der Nato, das im Cyberwar das Töten von Hackern erlaubt, beschäftigt jetzt auch die Bundesregierung. "Es obliegt nicht der Bundesregierung, eine breite gesellschaftliche Debatte über die Regeln zu führen", heißt es trocken.

  1. Cyberwar Experten halten Stuxnet-Einsatz für Gewaltanwendung
  2. Cyberwar BND errichtet Abteilung zur Abwehr von Hackerangriffen
  3. Cyber Defense Nato-Papier gibt Hacker zum Abschuss frei
Golem.de
In eigener Sache: Bitte schalte deinen Adblocker aus!
In eigener Sache
Bitte schalte deinen Adblocker aus!

Viele Nutzer betrachten Adblocker als legitime Notwehr gegen die aggressive Werbung im Netz. Für Websites wie Golem.de ist das ein großes Problem. Am Ende verlieren alle. Suche nach Auswegen aus dem Dilemma.

  1. In eigener Sache Golem.de und das Leistungsschutzrecht
Kickstarter
Heavy Gear Assault: Mech-Action auf Basis der Unreal Engine 4
Heavy Gear Assault
Mech-Action auf Basis der Unreal Engine 4

Schon länger arbeitet das Entwicklerstudio Stompy Bot an einer Neuauflage von Heavy Gear als Computerspiel. Jetzt kann die Community das Projekt unterstützen: Via Kickstarter sollen mindestens 800.000 US-Dollar zusammenkommen.

  1. Helios Fahrradlenker mit Blinker, Licht und GPS
  2. Energy Hook 1-Dollar-Kampagne auf Kickstarter erfolgreich
  3. Keyprop Schlüsselbund stützt Smartphone beim Filmegucken
Forumsbeiträge »
  1. Kim Dotcom "Google, Facebook, Twitter verletzen mein Patent"

    Re: Wieder so ein lächerliches Patent

    DrWatson | 12:06

  2. Kim Dotcom "Google, Facebook, Twitter verletzen mein Patent"

    Re: Heuchler

    serra.avatar | 12:06

  3. Xbox One Big Brother im Wohnzimmer

    Re: Zwei Fragen die sich keiner stellt..

    Endwickler | 12:05

  4. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Hi-Fi

    fuzzy | 12:05

  5. Samsung 10 Millionen Galaxy S4 in weniger als einem Monat verkauft

    Re: Ausgeliefert! Nicht verkauft.

    nykiel.marek | 12:05

Ticker »
  1. MQ-4C Triton Aufklärungsdrohne der US-Marine fliegt zum ersten Mal

    12:06

  2. Temash, Kabini, Richland AMDs mobile APUs von 4 bis 35 Watt sind da

    12:06

  3. Xbox One Hauseigene Halo-Konkurrenz und neues Altes von Rage

    11:53

  4. Quantified Self Alkoholmessgerät für das Smartphone

    11:14

  5. Kim Dotcom "Google, Facebook, Twitter verletzen mein Patent"

    10:59

  6. Samsung 10 Millionen Galaxy S4 in weniger als einem Monat verkauft

    10:04

  7. Innodisk Winzige NanoSSD erreicht 480 MByte/s

    09:37

  8. München Limux bleibt technisch anspruchsvoll

    09:19

Zum Artikel