Abo
  • IT-Karriere:

Android: Apps kommen auch ohne Berechtigung an Trackingdaten

Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.

Artikel veröffentlicht am ,
Ob da alles mit rechten Dingen zugeht?
Ob da alles mit rechten Dingen zugeht? (Bild: Pathum Danthanarayana/Unsplash)

Mit dem Android-Berechtigungsmodell sollen besonders sensible Daten geschützt werden. Erst wenn der Benutzer einer App die entsprechende Berechtigung erteilt, kann sie beispielsweise auf den Standort oder die Geräte-ID zugreifen. Doch einige Anwendungen umgehen die Berechtigungen, indem sie auf anderen Wegen an die entsprechenden Daten gelangen. Dies fanden Forscher der Berkeley-Universität (USA), des IMDEA Networks Institute (Spanien) und der Universität Calgary (Kanada) heraus (PDF).

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Esslingen am Neckar
  2. Statistisches Bundesamt, Wiesbaden

Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammen. In einer abgeschotteten Umgebung überprüften die Forscher, auf welche Daten die Apps zugriffen und welche Informationen sie an den Hersteller oder Trackingdienste senden wollten. Insgesamt entdeckten die Forscher 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Die Namen aller Apps wollen die Forscher bei einer Präsentation auf der Usenix-Konferenz veröffentlichen.

Rund 70 Apps nutzten verschiedene Tricks, um auch ohne eine Berechtigung an den Standort des Gerätes zu gelangen. Beispielsweise kann der Standort aus einem kürzlich angefertigten Foto ausgelesen werden, sofern die Kamera-App die GPS-Koordinaten in den Metadaten des Bildes ablegt. Mit diesem Trick kann zwar nicht ständig der aktuelle Standort ermittelt werden, dafür kann der Standortverlauf aus älteren Bildern ausgelesen werden. Auf diesem Weg sammelt unter anderem die Bildbearbeitungs-App Shutterfly die Geodaten.

Apps tauschen Daten über den Gerätespeicher aus

Der Analyse- und Monetarisierungsdienst Salmonads aus Südkorea geht einen anderen Weg: Hat eine App, die den Dienst verwendet, die Berechtigung, die IMEI, Werbe-ID oder MAC-Adresse auszulesen, werden diese Informationen in einer Datei auf der SD-Karte abgelegt. Über diese Datei können andere Programme, in welche Salmonads integriert ist, die Informationen ganz ohne die entsprechenden Berechtigungen auslesen. Sie benötigen nur noch die Berechtigung, auf die SD-Karte zuzugreifen. Über die eindeutigen Daten kann Salmonads die verschiedenen Apps einem Gerät und damit einem Nutzer zuordnen.

Auch Anwendungen, die Dienste der chinesischen Suchmaschine Baidu integrieren, legen die IMEI sowie die Android-ID im Gerätespeicher ab beziehungsweise lesen sie dort aus. Die Forscher entdeckten 153 Apps, die von dem System Gebrauch machten, darunter Anwendungen von Disney sowie ein Browser und eine Gesundheits-App von Samsung. Letztere wurden jeweils auf 500 Millionen Geräten installiert.

Auch für den Zugriff auf Informationen über die verwendeten WLANs brauchen die Apps unter Android eine entsprechende Berechtigung. Die MAC-Adresse des Routers kann allerdings auch über die ungeschützte ARP-Tabelle (Address Resolution Protocol) ausgelesen werden. In dieser werden die MAC-Adressen und ihnen zugeordnete IP-Adressen, mit denen in verschiedenen Netzwerken kommuniziert wurde, historisch aufgelistet. Neben MAC-Adressen lässt sich über den Standort des verwendeten Routers auch ein ungefährer Standort des Smartphones herausfinden. Die Forscher entdeckten etliche Apps, die über diesen Seitenkanal entsprechende Informationen sammelten. Ihren Fund meldeten sie bereits im September 2018 an Google.

Häufig dienen die gewonnen Daten dazu, ein eindeutiges Merkmal zu identifizieren oder zu generieren und damit das Smartphone und den Nutzer wiederzuerkennen. Das ist auch über die Kalibrierungsdaten der Smartphone-Sensoren möglich.

"Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Möglichkeiten, mit denen sie ihre Privatsphäre schützen können", sagte Serge Egelman, einer der Autoren der Studie, bei deren Vorstellung. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."



Anzeige
Spiele-Angebote
  1. (-78%) 2,20€
  2. 17,99€
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)

bastie 19. Jul 2019

Das ist mir tatsächlich auch ein Rätsel. Ich habe mal verglichen, ob es einen...

elf 17. Jul 2019

Na selbstverständlich geht es das. Auch zwischen 2 Sandboxen können bei Bedarf Daten...

vollstorno 17. Jul 2019

Es gibt keine kostenlose Software (..) Wenn man nicht in Dollar oder Euro dafür zahlt...

Nachtschatten 16. Jul 2019

Stürmt das SEK, jetzt 1.325 Entwicklern die Wohnung? Ja ich weiß, war ne rhetorische...

Tuxgamer12 16. Jul 2019

Ich liebe diese App! Hab da eine ganz klare Trennung: * Alles, was von Google Play...


Folgen Sie uns
       


Nokia 2720 Flip - Hands on

Mit dem Nokia 2720 Flip hat HMD Global ein neues Klapphandy vorgestellt. Dank dem Betriebssystem KaiOS lassen sich auch Apps wie Google Maps oder Whatsapp verwenden.

Nokia 2720 Flip - Hands on Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /