News

Android-Berechtigungssystem in über 1.000 Fällen nutzlos

Unter den betroffenen Android-Apps: die mehr als 100.000 Mal installierte Hong Kong Disneyland App (Foto: Shutterstock)

Einer Studie zufolge umgehen mehr als 1.000 Android-Apps das Berechtigungssystem und sammeln unerlaubt Daten. Fast ein Jahr später schließt Google die Lücken voraussichtlich im August.


Seit dem 2015 durch Android 6 eingeführten Berechtigungssystem sollten sich die Berechtigungen für einzelne Apps zum Sammeln und Auslesen von Daten untersagen und entziehen lassen. Dass das in der Praxis nicht immer zutrifft, hat ein Forschungsteam des kalifornischen International Computer Science Institute (ICSI) herausgefunden. So würde das Berechtigungssystem bei mehr als 1.325 im Google-Play-Store erhältlichen Android-Apps nicht vollständig greifen. Einige Apps würden das System sogar gezielt umgehen. Unter anderem die IMEI-Nummer des Gerätes und Standortdaten des Nutzers ließen sich so trotz verweigerter Erlaubnis von App-Betreibern auslesen. Serge Egelman, Direktor der Usable Security & Privacy Group am ICSI, hat die Studie am 27. Juni auf der Privacycon 2019 in Washington vorgestellt.

Mehr als 100 Millionen installierte Android-Apps betroffen

Die kalifornischen Forscher des ICSI haben laut ZD-Net mehr als 88.000 Android-Apps aus dem Google-Play-Store getestet und untersucht, ob und wie die Apps bei untersagten Berechtigungen Daten übertragen. 1.325 der 88.000 untersuchten Apps würden das Berechtigungssystem umgehen. Sie würden unter anderem personenbezogene Daten aus den Metadaten von gespeicherten Fotos oder aus Wifi-Verbindungen auslesen.

Unter den betroffenen Apps seien zudem 13 Apps, die sich Spionagetechnik zunutze machen würden. Darunter die laut Google-Play-Store mehr als 100.000 Mal installierte Hong-Kong-Disneyland-App, die mehr als 500 Millionen Mal installierte Samsung-Health-App und die ebenfalls unzählige Male installierten Samsung-Browser-Apps wie der Samsung-Internet-Browser. Die Apps würden SDKs des chinesischen Suchmaschinen-Betreibers Baidu und des südkoreanischen Unternehmens Salmonads nutzen. Damit ließen sich Daten über den internen Speicher des Gerätes versteckt von einer App zur anderen und schlussendlich zu den Servern der Betreiber übertragen. Weiterhin haben die Forscher die kostenlose und mehr als fünf Millionen Mal installierte Foto-App Shutterfly untersucht. Shutterfly würde aus den Metadaten von Fotos GPS-Daten des Nutzers auslesen und auf den Servern der Betreiber speichern.

Auf dem Usenix-Security-Symposium im kalifornischen Santa Clara vom 14. bis 16. August 2019 werden die Forscher eine detaillierte Liste mit allen 1.325 betroffenen Apps vorstellen.

Android Q schließt seit September bekannte Lücken

Bereits im September 2018 hätten die Forscher und die Federal Trade Commission Google auf die Sicherheitslücken aufmerksam gemacht, so Serge Egelman. Google habe damals angegeben, die Lücken mit dem Update Android Q schließen zu wollen, das Medienberichten zufolge voraussichtlich im August 2019 ausgerollt werden soll und in der Beta-Phase steckt. Bis dahin lassen sich die Lücken des heimlichen Datenausspähens nur über Nicht-Nutzung oder Löschen der Apps, Updates durch die App-Betreiber oder zusätzliche Apps schließen.

Das könnte dich auch interessieren:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung