Google hat Android im Laufe der Jahre ein sehr umfangreiches Berechtigungssystem spendiert, das dem Nutzer die Möglichkeit gibt, den Apps einzelne Berechtigungen zu verwehren, zu erteilen oder auch wieder zu entziehen. Aber es gibt auch eine ganze Reihe von Aktionen, die eine App ohne Erlaubnis durch den Nutzer durchführen kann – und die sind umfangreicher, als man im ersten Moment denken würde. Eine interessante Android-App zeigt nun, welche Informationen ohne jegliche Berechtigungen abgefragt werden können.
Jeder Android-Nutzer kennt die vom Betriebssystem eingeblendeten Abfragen, ob App XY die Berechtigung für eine bestimmte Aktion erteilt werden soll. Die Bandbreite reicht vom Zugriff auf die Kamera oder das Mikrofon über den Standort und die Telefon-App bis hin zum Zugriff auf den lokalen Speicher oder die Kontakte und noch einiges mehr. Weil diese Abfragen sehr prominent und die Nutzer immer stärker sensibilisiert sind, nutzen vertrauenswürdige App-Entwickler nur noch die Berechtigungen, die unbedingt notwendig sind und erklären dies im besten Fall vor dem ersten Zugriff.
Google hat die Daumenschrauben für App-Entwickler in den letzten Jahren stark angezogen und vor allem an den Berechtigungen Verschärfungen vorgenommen. Das hat im gesamten Android-Ökosystem zu einer erhöhten Sicherheit geführt und vermeintlich können Apps mit verwehrten Berechtigungen nicht mehr viele Daten sammeln – aber das ist nicht ganz korrekt. Die relativ neue Android-App PrivacyBreacher zeigt das auf sehr eindrucksvolle Weise: Sie benötigt keinerlei Berechtigungen und kann dennoch folgende Dinge abrufen und anzeigen:
- Herausfinden, wann das Display eingeschaltet und ausgeschaltet wurde
- Herausfinden, wann das Ladekabel angeschlossen oder abgezogen wurde
- Herausfinden, wann ein kabelgebundener Kopfhörer angeschlossen oder abgezogen wurde
- Herausfinden, wann das Smartphone eingeschaltet oder ausgeschaltet wurde
- Zugriff auf die Smartphone-Daten wie den Hersteller und das Modell
- Zugriff auf die Nutzungsdaten des Wifi / Mobile Daten
- Abruf einer Liste aller installieren Apps auf dem Smartphone
- Erstellung einer 3D-Visualisierung aller Bewegungen
Tatsächlich sind das für sich genommen keine sicherheitsrelevanten Dinge und die App ist somit nicht in der Lage, den Nutzer auszuspionieren, aber die Gefahr geht vor allem von der Kombination einiger erteilter Berechtigungen und diesen ohne Erlaubnis abgefragten Daten aus. Die Liste ließe sich sicherlich mit einigen eher harmlosen Berechtigungen schon sehr sehr stark erweitern und dann wird es sehr schnell interessant.
Scamspotter: Onlinebetrug erkennen – Google startet neues Portal mit Informationen, Trainings & Scam-Quiz
Die App nutzt für ihre Funktion aber keine Android-Sicherheitslücken aus, sondern kann diese frei abrufbaren Daten unter Android 9, 10 und bis zu einem gewissen Grad auch 11 sehr einfach erhalten. Die Zeitpunkte für das Ein- und Ausschalten des Displays, des Stromkabels, Kopfhörers oder des gesamten Geräts lassen sich sehr einfach aus dem Ereignisprotokoll abrufen. Die Modelldaten des Smartphones sind Teil der notwendigen Android-Grundinformationen und auch die Statistiken zur Daten- und Wifi-Nutzung stehen den Apps frei zur Verfügung.
Interessanter ist da schon die Liste der installierten Apps sowie die 3D-Visualisierung eurer Bewegungen. Erstes ist gerade zur Profilerstellung sehr interessant und dürfte vermutlich von vielen Werbenetzwerken verwendet werden. Die 3D-Visualisierung hingegen dürfte auf den Bewegungssensoren basieren, deren Daten frei abrufbar sind und von vielen Apps oder vor allem Spielen zur Steuerung benötigt werden.
Ein interessantes Projekt, das ihr euch einfach einmal in App-Form sowie auf GitHub ansehen solltet.