قالب وردپرس درنا توس
Home / Wissenschaft & Technik / Android: Apps haben keine Berechtigung zum Verfolgen von Daten

Android: Apps haben keine Berechtigung zum Verfolgen von Daten



Das Android-Autorisierungsmodell dient zum Schutz vertraulicher Daten. Wenn der Benutzer beispielsweise einer App die Berechtigung erteilt, kann er auf den Standort oder die Geräte-ID zugreifen. Einige Anwendungen umgehen die Berechtigungen jedoch, indem sie auf andere Weise auf die Daten zugreifen. Forscher der Berkeley University (USA), des IMDEA Networks Institute (Spanien) und der University of Calgary (Kanada) haben dies herausgefunden.

Stellenmarkt

  1. Julius-Maximilians-Universität Würzburg, Würzburg
  2. Stuttgarter Börse GmbH, Stuttgart



Die Forscher untersuchten 88.000 Apps, die aus der US-Version des Google Play Store stammen. In einer versiegelten Umgebung überprüften die Forscher, auf welche Daten die Apps zugegriffen haben und welche Informationen sie an den Hersteller oder die Verfolgungsdienste senden wollten. Insgesamt entdeckten die Forscher 1.325 Programme, die ohne entsprechende Genehmigung auf Daten zugreifen könnten. Die Forscher wollen die Namen aller Apps während einer Präsentation auf der Usenix-Konferenz veröffentlichen.

Rund 70 Apps verwendeten verschiedene Tricks, um ohne Autorisierung auf das Gerät zu gelangen. Zum Beispiel kann der Standort von einem kürzlich aufgenommenen Foto gelesen werden, vorausgesetzt, die Kamera-App speichert die GPS-Koordinaten in den Metadaten des Bildes. Obwohl dieser Trick den aktuellen Standort nicht ständig ermitteln kann, kann der Standortverlauf aus älteren Bildern gelesen werden. Auf diese Weise sammelt unter anderem die Bildbearbeitungs-App Shutterfly die Geodaten.

Apps tauschen Daten über den Gerätespeicher aus

Der Analyse- und Monetarisierungsdienst Salmonaden aus Südkorea geht einen anderen Weg: Hat eine App, die den Dienst nutzt, die Autorisierung, um die IMEI, die Werbe-ID oder die MAC-Adresse zu lesen, sind diese Informationen in einer Datei auf der SD-Karte gespeichert. Durch diese Datei können andere Programme, in die Salmonads integriert ist, die Informationen ohne die entsprechenden Berechtigungen lesen. Sie benötigen nur die Berechtigung, auf die SD-Karte zuzugreifen. Salmonaden können anhand der eindeutigen Daten die verschiedenen Apps einem Gerät und damit einem Benutzer zuordnen.

Auch Anwendungen, die die Dienste der chinesischen Suchmaschine Baidu integrieren, speichern oder lesen die IMEI und die Android-ID im Gerätespeicher aus. Die Forscher entdeckten 153 Apps, die das System nutzten, darunter Anwendungen von Disney sowie einen Browser und eine Gesundheits-App von Samsung. Letztere wurden jeweils auf 500 Millionen Geräten installiert.

Die Apps unter Android benötigen außerdem die Berechtigung, auf Informationen zu den verwendeten WLANs zuzugreifen. Die MAC-Adresse des Routers kann jedoch auch über die ungeschützte ARP-Tabelle (Address Resolution Protocol) ausgelesen werden. Es listet in der Vergangenheit die MAC-Adressen und die zugehörigen IP-Adressen auf, die in verschiedenen Netzwerken übertragen wurden. Neben MAC-Adressen finden Sie am Standort des verwendeten Routers auch einen ungefähren Standort des Smartphones. Die Forscher entdeckten eine Reihe von Apps, die Informationen über diesen Seitenkanal sammelten. Ihren Fund haben sie bereits im September 2018 an Google gemeldet.

Häufig werden die erhaltenen Daten dazu verwendet, ein eindeutiges Merkmal zu identifizieren oder zu generieren und so das Smartphone und den Nutzer zu erkennen. Dies ist auch über die Kalibrierdaten der Smartphonesensoren möglich.

"Verbraucher haben im Allgemeinen nur sehr wenige Werkzeuge und Möglichkeiten, um ihre Privatsphäre zu schützen", sagte Serge Egelman, einer der Autoren der Studie, ihre Idee. "Wenn App-Entwickler das System problemlos umgehen können, ist es relativ nutzlos, die Verbraucher um Erlaubnis zu bitten."


Source link