Original-URL des Artikels: https://www.golem.de/news/android-apps-kommen-auch-ohne-berechtigung-an-trackingdaten-1907-142587.html    Veröffentlicht: 16.07.2019 15:10    Kurz-URL: https://glm.io/142587

Android

Apps kommen auch ohne Berechtigung an Trackingdaten

Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.

Mit dem Android-Berechtigungsmodell sollen besonders sensible Daten geschützt werden. Erst wenn der Benutzer einer App die entsprechende Berechtigung erteilt, kann sie beispielsweise auf den Standort oder die Geräte-ID zugreifen. Doch einige Anwendungen umgehen die Berechtigungen, indem sie auf anderen Wegen an die entsprechenden Daten gelangen. Dies fanden Forscher der Berkeley-Universität (USA), des IMDEA Networks Institute (Spanien) und der Universität Calgary (Kanada) heraus (PDF).

Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Stores stammen. In einer abgeschotteten Umgebung überprüften die Forscher, auf welche Daten die Apps zugriffen und welche Informationen sie an den Hersteller oder Trackingdienste senden wollten. Insgesamt entdeckten die Forscher 1.325 Programme, die ohne eine entsprechende Berechtigung Zugriff auf Daten erlangen konnten. Die Namen aller Apps wollen die Forscher bei einer Präsentation auf der Usenix-Konferenz veröffentlichen.

Rund 70 Apps nutzten verschiedene Tricks, um auch ohne eine Berechtigung an den Standort des Gerätes zu gelangen. Beispielsweise kann der Standort aus einem kürzlich angefertigten Foto ausgelesen werden, sofern die Kamera-App die GPS-Koordinaten in den Metadaten des Bildes ablegt. Mit diesem Trick kann zwar nicht ständig der aktuelle Standort ermittelt werden, dafür kann der Standortverlauf aus älteren Bildern ausgelesen werden. Auf diesem Weg sammelt unter anderem die Bildbearbeitungs-App Shutterfly die Geodaten.

Apps tauschen Daten über den Gerätespeicher aus

Der Analyse- und Monetarisierungsdienst Salmonads aus Südkorea geht einen anderen Weg: Hat eine App, die den Dienst verwendet, die Berechtigung, die IMEI, Werbe-ID oder MAC-Adresse auszulesen, werden diese Informationen in einer Datei auf der SD-Karte abgelegt. Über diese Datei können andere Programme, in welche Salmonads integriert ist, die Informationen ganz ohne die entsprechenden Berechtigungen auslesen. Sie benötigen nur noch die Berechtigung, auf die SD-Karte zuzugreifen. Über die eindeutigen Daten kann Salmonads die verschiedenen Apps einem Gerät und damit einem Nutzer zuordnen.

Auch Anwendungen, die Dienste der chinesischen Suchmaschine Baidu integrieren, legen die IMEI sowie die Android-ID im Gerätespeicher ab beziehungsweise lesen sie dort aus. Die Forscher entdeckten 153 Apps, die von dem System Gebrauch machten, darunter Anwendungen von Disney sowie ein Browser und eine Gesundheits-App von Samsung. Letztere wurden jeweils auf 500 Millionen Geräten installiert.

Auch für den Zugriff auf Informationen über die verwendeten WLANs brauchen die Apps unter Android eine entsprechende Berechtigung. Die MAC-Adresse des Routers kann allerdings auch über die ungeschützte ARP-Tabelle (Address Resolution Protocol) ausgelesen werden. In dieser werden die MAC-Adressen und ihnen zugeordnete IP-Adressen, mit denen in verschiedenen Netzwerken kommuniziert wurde, historisch aufgelistet. Neben MAC-Adressen lässt sich über den Standort des verwendeten Routers auch ein ungefährer Standort des Smartphones herausfinden. Die Forscher entdeckten etliche Apps, die über diesen Seitenkanal entsprechende Informationen sammelten. Ihren Fund meldeten sie bereits im September 2018 an Google.

Häufig dienen die gewonnen Daten dazu, ein eindeutiges Merkmal zu identifizieren oder zu generieren und damit das Smartphone und den Nutzer wiederzuerkennen. Das ist auch über die Kalibrierungsdaten der Smartphone-Sensoren möglich.

"Grundsätzlich haben die Verbraucher nur sehr wenige Werkzeuge und Möglichkeiten, mit denen sie ihre Privatsphäre schützen können", sagte Serge Egelman, einer der Autoren der Studie, bei deren Vorstellung. "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."

 (mtr)


Verwandte Artikel:
Tracking: Smartphones anhand ihrer Sensoren verfolgen   
(23.05.2019, https://glm.io/141464 )
Webbrowser: Das Tracking ist tot, es lebe das Tracking   
(05.06.2019, https://glm.io/141694 )
Bluetooth: Tracking trotz Trackingschutz möglich   
(16.07.2019, https://glm.io/142576 )
Hermes für React Native: Facebook baut eigene Javascript-Engine   
(12.07.2019, https://glm.io/142520 )
Google: Fünfte Betaversion von Android Q veröffentlicht   
(11.07.2019, https://glm.io/142496 )

© 1997–2019 Golem.de, https://www.golem.de/