Sicherheitsforscher finden mehr als 1300 Android-Apps, die unerlaubt Daten abgreifen. Das Erschreckende daran ist, dass sie das auch dann können, wenn Nutzer ihnen die nötigen Berechtigungen nicht erteilt oder entzogen haben. Android-Apps haben grundsätzlich keinen Zugriff auf kritische Bereiche des Systems oder andere Anwendungen, so lange sie nicht die dafür nötigen Berechtigungen haben, beziehungsweise vom Nutzer eingeräumt bekommen.
Ein internationales Forscherteam hat allerdings herausgefunden, dass Apps diese Sicherheitsbarriere relativ leicht umgehen können. Laut „Cnet„ haben die Spezialisten insgesamt 88.000 Anwendungen aus Googles Play Store untersucht und bei 1325 festgestellt, dass sie das Berechtigungs-System umgehen, um Nutzerdaten abzugreifen. Es könnten weit mehr sein, im Play Store befinden sich mehr als 2 Millionen Apps.
Die Forscher stellten beispielsweise fest, dass die Bildbearbeitungs-App „Shutterfly“ unberechtigt Standortdaten aus den Metadaten von Fotos ausliest und an die Server ihrer Entwickler schickt. Das Unternehmen behauptet zwar, die Daten nur mit Erlaubnis der Nutzer einzusammeln. In ihren eingeforderten Berechtigungen wird der Standort allerdings nicht aufgezählt.
Was Wunder: Chinesische Entwickler-Tools
13 Anwendungen, die über 17 Millionen Mal installiert wurden, beschaffen sich die IMEI (Seriennummer) eines Smartphones, über die das Gerät eindeutig identifiziert werden kann. Dazu nutzen sie aus, dass andere Apps, die die nötige Berechtigung haben, die Information ungeschützt abspeichern. Die Apps wurden mit Hilfe von Tools des chinesischen Google-Konkurrenten Baidu und des ebenfalls chinesischen Unternehmens Salmonads entwickelt.
153 der untersuchten Anwendungen sind potenziell in der Lage, über diesen Umweg ebenfalls die IMEI abzugreifen, tun dies aber offenbar nicht. Zu ihnen gehören auch Samsung Health und Samsungs Browser. 20 der 153 Apps haben tatsächlich die Berechtigung, die IMEI auszulesen. Die Forscher vermuten, dass diese Anwendungen die Information ungeschützt abspeichern.
Andere Apps können die MAC-Adressen von WLAN-Zugangspunkten nutzen, um Standortdaten zu ermitteln. Fünf Anwendungen wurden beim Spionieren erwischt, weitere fünf wären dazu in der Lage. Mit der MAC-Adresse von Routern können über die angemeldeten Geräte theoretisch auch persönliche Verbindungen eines Nutzers erkannt werden.
Besserer Schutz erst mit Android Q
Die Forscher teilten ihre Erkenntnisse Google mit, doch vorerst bleibt das Berechtigungs-System relativ leicht zu umgehen. Erst mit dem kommenden Android Q werden GPS-Informationen vor Drittanbieter-Apps verborgen. Anwendungen, die WLAN-Verbindungen aufbauen wollen, müssen dann dafür zwingend die Berechtigung haben, auf den Standort zuzugreifen.
Ansonsten bleibt Nutzern nur, besonders misstrauisch zu sein und allen Apps Berechtigungen zu entziehen, die sie nicht für ihre Aufgabe benötigen. Anwendungen, die man ohnehin nicht benötigt, kann man auch gleich deinstallieren.
