PrivacyCon 2019: Nutzlose Schutzmechanismen bei Android
Programmierer beißen sich durch die Sicherheitssperren bei Android.
Bild: dpa
Es ist ein Katz-und-Maus-Spiel. Jedes Mal, wenn Google versucht, die persönlichen Daten der Android-Nutzer besser zu schützen, versuchen findige App-Programmierer im Gegenzug, diese Schutzmechanismen wieder auszuhebeln. Unter dem griffigen Namen „50 Ways to Leak Your Data“ haben Sicherheitsforscher im Rahmen der PrivacyCon 2019 ein Papier vorgestellt, indem sie populäre Tricks der App-Programmierer analysieren.
Programmierer beißen sich durch die Sicherheitssperren bei Android.
Bild: dpa
Für die Erstellung der Studie haben sich die Wissenschaftler des International Computer Science Institute (ICSI) mehr als 88 000 der populärsten Android-Apps angeschaut. Und das Ergebnis kann nicht zufriedenstellen. Immerhin mehr als 1000 dieser Apps tricksen die Google-Schutzmechanismen aus. Und das sind längst nicht alles dubiose No-Name-Apps.
Nutzer soll eindeutig identifiziert werden
Hinter dem Bestreben, die Google-Schutzmechanismen auszuhebeln, steht meist der Wunsch, die Nutzer der App eindeutig zu identifizieren. Das kann beispielsweise über die MAC-Adresse des Gerätes geschehen. Diese im Normalfall unveränderliche Adresse identifiziert das Gerät gegenüber dem Netzwerk und ist eigentlich auch besonders abgesichert gegen das unbefugte Auslesen. Doch manche Apps nutzen hier ungeschützte Unix System Calls, um auf die Daten Zugriff zu erhalten. Als Beispiels nannten die Forscher die Game Engine "Unity", die dann diese Daten auf einen Server überträgt. Auch die MAC-Adresse des genutzten WLAN-Servers können Apps laut der Forschergruppe ausspionieren.
Samsung-Apps ebenfalls betroffen
Besonders begehrt ist die IMEI des Gerätes, sozusagen die Fahrgestellnummer des Smartphones. Sie wird bisweilen von Apps als Ersatz für die Werbe-ID von Google genutzt. Der Zugriff ist durch eine Berechtigung geschützt, doch wie die Forscher herausgefunden haben, können bisweilen Apps, die mit demselben SDK erstellt wurden, trotzdem darauf zugreifen. Die App mit der Berechtigung kann die IMEI nämlich verschlüsselt im Speicher ablegen, die nicht berechtigte App hat den Schlüssel und kann sie dort auslesen. Das funktioniert beispielsweise mit den sehr populären Entwicklungstools von Baidu oder Salmonads. Die Baidu-Hintertür wurde beispielsweise in der App für den Disney-Park in Hongkong, aber auch in Samsungs "Health" und Browser-App gefunden, beide mit mehr als 500 Mio. Installationen.
Standortdaten durch die Hintertür
Wird den Apps die Standort-Kennung verwehrt, dann greifen sie häufig auf einen anderen Trick zurück. Sie lesen einfach die EXIF-Dateien der von der Kamera geschossenen Bilder aus, die die GPS-Daten des Aufnahmeortes beinhalten. Eine Methode übrigens, die auch bei iOS funktioniert. Die entsprechende Berechtigung ist verhältnismäßig einfach zu bekommen. Der Zugriff auf Multimedia-Dateien wird sehr oft angefordert und entsprechend freizügig gewährt. Als Beispiel für eine solche App erwähnen die Forscher „shutterfly“.
Die gute Nachricht: Die Sicherheitslücken sind natürlich auch Google bekannt und mit Android 10 werden die meisten geschlossen werden. Doch das dauert, und nicht alle Geräte werden in den Genuss der Patches kommen. Und natürlich werden die App-Programmierer das Katz-und-Maus-Spiel dann von neuem starten.
Android 10 legt großen Wert auf mehr Sicherheit. Was das neue Betriebssystem außerdem bringen wird, haben wir in einem Vorab-Bericht zusammengefasst.