Abo
  • IT-Karriere:

Android: Apps kommen auch ohne Berechtigung an Trackingdaten

Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.

Artikel veröffentlicht am ,
Ob da alles mit rechten Dingen zugeht?
Ob da alles mit rechten Dingen zugeht? (Bild: Pathum Danthanarayana/Unsplash)

Mit dem Android-Berechtigungsmodell sollen besonders sensible Daten geschützt werden. Erst wenn der Benutzer einer App die entsprechende Berechtigung erteilt, kann sie beispielsweise auf den Standort oder die Geräte-ID zugreifen. Doch einige Anwendungen umgehen die Berechtigungen, indem sie auf anderen Wegen an die entsprechenden Daten gelangen. Dies fanden Forscher der Berkeley-Universität (USA), des IMDEA Networks Institute (Spanien) und der Universität Calgary (Kanada) heraus (PDF).

Stellenmarkt
  1. Stadtverwaltung Kaiserslautern, Kaiserslautern
  2. MAINGAU Energie GmbH, Obertshausen

Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammen. In einer abgeschotteten Umgebung überprüften die Forscher, auf welche Daten die Apps zugriffen und welche Informationen sie an den Hersteller oder Trackingdienste senden wollten. Insgesamt entdeckten die Forscher 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Die Namen aller Apps wollen die Forscher bei einer Präsentation auf der Usenix-Konferenz veröffentlichen.

Rund 70 Apps nutzten verschiedene Tricks, um auch ohne eine Berechtigung an den Standort des Gerätes zu gelangen. Beispielsweise kann der Standort aus einem kürzlich angefertigten Foto ausgelesen werden, sofern die Kamera-App die GPS-Koordinaten in den Metadaten des Bildes ablegt. Mit diesem Trick kann zwar nicht ständig der aktuelle Standort ermittelt werden, dafür kann der Standortverlauf aus älteren Bildern ausgelesen werden. Auf diesem Weg sammelt unter anderem die Bildbearbeitungs-App Shutterfly die Geodaten.

Apps tauschen Daten über den Gerätespeicher aus

Der Analyse- und Monetarisierungsdienst Salmonads aus Südkorea geht einen anderen Weg: Hat eine App, die den Dienst verwendet, die Berechtigung, die IMEI, Werbe-ID oder MAC-Adresse auszulesen, werden diese Informationen in einer Datei auf der SD-Karte abgelegt. Über diese Datei können andere Programme, in welche Salmonads integriert ist, die Informationen ganz ohne die entsprechenden Berechtigungen auslesen. Sie benötigen nur noch die Berechtigung, auf die SD-Karte zuzugreifen. Über die eindeutigen Daten kann Salmonads die verschiedenen Apps einem Gerät und damit einem Nutzer zuordnen.

Auch Anwendungen, die Dienste der chinesischen Suchmaschine Baidu integrieren, legen die IMEI sowie die Android-ID im Gerätespeicher ab beziehungsweise lesen sie dort aus. Die Forscher entdeckten 153 Apps, die von dem System Gebrauch machten, darunter Anwendungen von Disney sowie ein Browser und eine Gesundheits-App von Samsung. Letztere wurden jeweils auf 500 Millionen Geräten installiert.

Auch für den Zugriff auf Informationen über die verwendeten WLANs brauchen die Apps unter Android eine entsprechende Berechtigung. Die MAC-Adresse des Routers kann allerdings auch über die ungeschützte ARP-Tabelle (Address Resolution Protocol) ausgelesen werden. In dieser werden die MAC-Adressen und ihnen zugeordnete IP-Adressen, mit denen in verschiedenen Netzwerken kommuniziert wurde, historisch aufgelistet. Neben MAC-Adressen lässt sich über den Standort des verwendeten Routers auch ein ungefährer Standort des Smartphones herausfinden. Die Forscher entdeckten etliche Apps, die über diesen Seitenkanal entsprechende Informationen sammelten. Ihren Fund meldeten sie bereits im September 2018 an Google.

Häufig dienen die gewonnen Daten dazu, ein eindeutiges Merkmal zu identifizieren oder zu generieren und damit das Smartphone und den Nutzer wiederzuerkennen. Das ist auch über die Kalibrierungsdaten der Smartphone-Sensoren möglich.

"Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Möglichkeiten, mit denen sie ihre Privatsphäre schützen können", sagte Serge Egelman, einer der Autoren der Studie, bei deren Vorstellung. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."



Anzeige
Spiele-Angebote
  1. (-70%) 5,99€
  2. 4,99€
  3. 69,99€ (Release am 25. Oktober)
  4. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)

bastie 19. Jul 2019

Das ist mir tatsächlich auch ein Rätsel. Ich habe mal verglichen, ob es einen...

elf 17. Jul 2019

Na selbstverständlich geht es das. Auch zwischen 2 Sandboxen können bei Bedarf Daten...

vollstorno 17. Jul 2019

Es gibt keine kostenlose Software (..) Wenn man nicht in Dollar oder Euro dafür zahlt...

Nachtschatten 16. Jul 2019

Stürmt das SEK, jetzt 1.325 Entwicklern die Wohnung? Ja ich weiß, war ne rhetorische...

Tuxgamer12 16. Jul 2019

Ich liebe diese App! Hab da eine ganz klare Trennung: * Alles, was von Google Play...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

    •  /