Abo
  • IT-Karriere:

Android: Apps kommen auch ohne Berechtigung an Trackingdaten

Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.

Artikel veröffentlicht am ,
Ob da alles mit rechten Dingen zugeht?
Ob da alles mit rechten Dingen zugeht? (Bild: Pathum Danthanarayana/Unsplash)

Mit dem Android-Berechtigungsmodell sollen besonders sensible Daten geschützt werden. Erst wenn der Benutzer einer App die entsprechende Berechtigung erteilt, kann sie beispielsweise auf den Standort oder die Geräte-ID zugreifen. Doch einige Anwendungen umgehen die Berechtigungen, indem sie auf anderen Wegen an die entsprechenden Daten gelangen. Dies fanden Forscher der Berkeley-Universität (USA), des IMDEA Networks Institute (Spanien) und der Universität Calgary (Kanada) heraus (PDF).

Stellenmarkt
  1. Lidl Digital, Neckarsulm, Hückelhoven, Venlo (Niederlande)
  2. ITEOS, verschiedene Standorte

Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammen. In einer abgeschotteten Umgebung überprüften die Forscher, auf welche Daten die Apps zugriffen und welche Informationen sie an den Hersteller oder Trackingdienste senden wollten. Insgesamt entdeckten die Forscher 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Die Namen aller Apps wollen die Forscher bei einer Präsentation auf der Usenix-Konferenz veröffentlichen.

Rund 70 Apps nutzten verschiedene Tricks, um auch ohne eine Berechtigung an den Standort des Gerätes zu gelangen. Beispielsweise kann der Standort aus einem kürzlich angefertigten Foto ausgelesen werden, sofern die Kamera-App die GPS-Koordinaten in den Metadaten des Bildes ablegt. Mit diesem Trick kann zwar nicht ständig der aktuelle Standort ermittelt werden, dafür kann der Standortverlauf aus älteren Bildern ausgelesen werden. Auf diesem Weg sammelt unter anderem die Bildbearbeitungs-App Shutterfly die Geodaten.

Apps tauschen Daten über den Gerätespeicher aus

Der Analyse- und Monetarisierungsdienst Salmonads aus Südkorea geht einen anderen Weg: Hat eine App, die den Dienst verwendet, die Berechtigung, die IMEI, Werbe-ID oder MAC-Adresse auszulesen, werden diese Informationen in einer Datei auf der SD-Karte abgelegt. Über diese Datei können andere Programme, in welche Salmonads integriert ist, die Informationen ganz ohne die entsprechenden Berechtigungen auslesen. Sie benötigen nur noch die Berechtigung, auf die SD-Karte zuzugreifen. Über die eindeutigen Daten kann Salmonads die verschiedenen Apps einem Gerät und damit einem Nutzer zuordnen.

Auch Anwendungen, die Dienste der chinesischen Suchmaschine Baidu integrieren, legen die IMEI sowie die Android-ID im Gerätespeicher ab beziehungsweise lesen sie dort aus. Die Forscher entdeckten 153 Apps, die von dem System Gebrauch machten, darunter Anwendungen von Disney sowie ein Browser und eine Gesundheits-App von Samsung. Letztere wurden jeweils auf 500 Millionen Geräten installiert.

Auch für den Zugriff auf Informationen über die verwendeten WLANs brauchen die Apps unter Android eine entsprechende Berechtigung. Die MAC-Adresse des Routers kann allerdings auch über die ungeschützte ARP-Tabelle (Address Resolution Protocol) ausgelesen werden. In dieser werden die MAC-Adressen und ihnen zugeordnete IP-Adressen, mit denen in verschiedenen Netzwerken kommuniziert wurde, historisch aufgelistet. Neben MAC-Adressen lässt sich über den Standort des verwendeten Routers auch ein ungefährer Standort des Smartphones herausfinden. Die Forscher entdeckten etliche Apps, die über diesen Seitenkanal entsprechende Informationen sammelten. Ihren Fund meldeten sie bereits im September 2018 an Google.

Häufig dienen die gewonnen Daten dazu, ein eindeutiges Merkmal zu identifizieren oder zu generieren und damit das Smartphone und den Nutzer wiederzuerkennen. Das ist auch über die Kalibrierungsdaten der Smartphone-Sensoren möglich.

"Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Möglichkeiten, mit denen sie ihre Privatsphäre schützen können", sagte Serge Egelman, einer der Autoren der Studie, bei deren Vorstellung. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."



Anzeige
Hardware-Angebote
  1. 204,90€
  2. 344,00€

bastie 19. Jul 2019 / Themenstart

Das ist mir tatsächlich auch ein Rätsel. Ich habe mal verglichen, ob es einen...

elf 17. Jul 2019 / Themenstart

Na selbstverständlich geht es das. Auch zwischen 2 Sandboxen können bei Bedarf Daten...

vollstorno 17. Jul 2019 / Themenstart

Es gibt keine kostenlose Software (..) Wenn man nicht in Dollar oder Euro dafür zahlt...

Nachtschatten 16. Jul 2019 / Themenstart

Stürmt das SEK, jetzt 1.325 Entwicklern die Wohnung? Ja ich weiß, war ne rhetorische...

Tuxgamer12 16. Jul 2019 / Themenstart

Ich liebe diese App! Hab da eine ganz klare Trennung: * Alles, was von Google Play...

Kommentieren


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

    •  /