Bekannte Android-Apps gefährden Nutzerdaten

Obwohl der diesjährige Frühling von zahlreichen Hackerangriffen geprägt war, gibt es noch immer einige Entwickler, die typische Anfängerfehler machen. Die Sicherheitsexperten von viaForensics fanden bekannte Android-Apps, die Nutzerdaten ... mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
da viele geräte gerootet sind kann das schon zu nem problem werden.
 
@iSUCK: gerootete geräte sind per se keine gefahr. Ein gerootetes Phone wird immer eine Anfrage prompten wenn ein Prozess root will. Wer sein phone rooten kann, weiss auch was im zweifelsfall zu tun ist.
 
@Oruam: naja würd ich nicht unbedingt sagen zb bei meiner psp hab ich am anfang ne custom firmware mit howto's herbekommen bis ich später mal durchgeblickt habe wie das alles funzt.
 
@CHICKnSTU: Klar, solche User gibt es auch. Aber auch bei denen erscheint bei jeder su-anfrage eine Warnung. Klar, das System ist nicht DAU-Sicher, aber welches System ist das schon?
 
@Oruam: hehe ja da kenn ich einige kuriose geschichten. von usern die nicht mal wissen wie man den pc einschaltet und stattdessen den monitor immer wieder ein und ausschalten und sich wundern *g*
 
@CHICKnSTU: du willst doch nicht ernsthaft eine custom firmware einer psp mit einern custom firmware von android vergleiche ?! das einzige was man bei einer custom firmware bei der psp wissen muss ist wie man eine anleitung ließt und weiss wo man seine "sicherheitskopien" herbekommt.....
 
@starchildx: ich wollte eig nur darauf hinweisen dass es auch leute gibt die sich die dinger machen lassen oder mit howtos das ding rooten und trotzdem keine ahnung davon haben.
mit der psp wollte ich nur anspielen dass ich am anfang auch keinen tau über das gerät hatte und wie es funktioniert
 
@Oruam: wenn man immer davon ausgeht das die leute mit Brain.exe unterwegs sind ist man auf dem völlig falschen Dampfer :)
 
@iSUCK: und da diese "Faustregel" auf alles mögliche zutrifft kann es wohl schlecht am System liegen ;) Ich gebe dir ja recht, aber ich sehe kein Unterschied zu einem JB iPhone, einem Ubuntu oder Windows.
 
@Oruam: ich hab auch nie gesagt das es da nen unterschied gibt.
ändert aber nix daran das es zum problem werden kann :)
 
@iSUCK: naja ich sehe des ma so : wenn android selbst schon die wlan zugänge unverschlüsselt speichert.. is was falsch (nutze selbst 2.2.1 mit root)
 
@DJxSpeedy: unverschlüsselt? Wohl kaum. das problem das du ansprichst ist etwas anderes. durch eine identische ssid dachten die geräte (nicht nur android) es sei dasselbe netzwerk wie ein bereits bekanntes und logten sich ein. via packetdumps kann man die pakete im netz sniffen und logindaten auslesen die nicht via ssl übertragrn werden. das ist aber nurnoch extrem selten der fall.
 
@Oruam: nein das meine ich nicht ;) hast du android und root ? suche mal per rootexplorer auf deinem handy folgende datei und mache sie mit nem texteditor auf : wpa_supplicant.conf

die die in DATA/MISC/WIFI/ liegt nicht die andere
 
@DJxSpeedy: da ist nix, sorry. (sgs II 2.3.3 KE7)
 
@Oruam: nutzt du wlan damit dann sollte da was sein ;)
suche nach der datei mal auf ganzem internen speicher... eine ist größer als die andere ;) da steht alles in reintext drinne...btw : xperia x10 mini pro CM6 2.2.1
 
"Bekannte Android-Apps gefährden Nutzerdaten" + "Allerdings steht ein Angreifer noch immer vor dem Problem, dass er sich Zugriff auf das Smartphone verschaffen muss. Das kann er entweder mit Hilfe einer Schadsoftware oder durch physisches Eingreifen." + "Die Square-App für iOS, mit der mobile Bezahlungen getätigt werden können, legt die vergangenen Bezahlungen sowie die digitale Signatur des Käufers unverschlüsselt ab, fand viaForensics heraus. " = ?? Was will man uns damit sagen?
 
@Oruam: in der überschrift sagt man: android ist böse... liebe iphone user kommt flamen... dann sagt man: ist erst ein risiko wenn man eh schon schadsoftware aufm handy hat... und dann sagt man: ios ist genauso betroffen ätsch bätsch... aber lest das nicht und fangt gleich an gegen android zu flamen
 
@GottNemesis: made my day :D
 
Ich denke das in der APP-Entwicklung dank der kurzen distributionswege auch viele "Heimentwickler" arbeiten. Da werden solche Lücken häufiger sein. Aber dort sollten auch weniger sensibele Daten verwendet werden. Bei Bankingsoftware oder Passwortverwaltungen etc. sollte natürlich auch ein großer Fokus auf Sicherheit gesetzt werden.
 
@Welzfisch: darum informiert man sich ja auch vorher wo man kauft. ich hol mir doch fuer meinen pc auch keine software von xbeliebigen entwicklern sondern mache mich vorher schlau
 
@-adrian-: Ja wobei ich dazu sagen muss, dass für mich der APP-Store von Apple für mich für einen zuverlässigen lieferanten von solcher software steht. Das ist natürlich nicht der produzent und ist natürlich ein trugschluss aber ich finde Apple sollte das für seine Qualitätssicherung aufnehmen. Ich mein Android z.b. kann ja eh jeder werkeln was er will...
 
@Welzfisch: das stimmt so nicht. um malware auf ein gerät zu bringen gibt es diverse hürden. um diese zu umgehen muss der user dies zulassen. wer eine app installiert muss 2x klicken bevor sie installiert wird. Da stehen IMMER alle berechtigungen aufgelistet und der user sieht was die app damit macht. Wenn eine App nach root schreit wird zusätzlich eine aktive handlung des benutzer benötigt. wenn in zukunft eine app root benötigt wird man auch stehts darauf hingewiesen. klar, es sitzt nirgends ein google mitarbeiter und prüfft die apps. aber völlig hilflos ist der benutzer nicht. Ausserdem gibt es schon genug apps die einem die rechteverwaltung erleichtert und sogar solche die einem potentielle gefahren zeigt.
 
@Oruam: Der User sieht eben nicht was das App macht. Du siehst zwar welche Berechtigungen du benötigst, was die Software aber macht bleibt dir verschlossen. Alternativer Browser will z.b. Zugriff aufs Netz. Weist du ob der Browser danach anfängt deine persönlichen Daten zu übertragen? Nein. Das Problem hier hat zwar nix mit Android zu tun (die können ja nix für wenn das App Zugangsdaten unverschlüsselt ablegt) dennoch sind die Berechtigungsanfragen für die meisten User unbrauchbar. Derjenie der sich nicht auskennt wird einfach auf OK klicken und derjenige der Sich die berechtigungen durchließt weiß zwar was das App alles darf, was es genau tut bleibt aber verborgen.
 
@Oruam: Was die APP damit macht? Erklär mir mal, was die Camera-Anwendung "camera 360" mit meinen Kontaktdaten macht, danke.
 
@ThreeM: http://goo.gl/OrYh0 Unten steht meistens eine kurze erklärung wenn was nicht klar ist. Ich bezweifle dass ein iOS app mehr auskunft gibt.
 
@mcbit: warum sollte er das? Du als Nutzer bist nun informiert, dass "Camera 360" nach der Installation das Recht besitzen würde, auf deine Kontaktdaten zuzugreifen. Ob du das Risiko eingehen willst, ist deine Entscheidung...
 
@Corleone: Er schrieb, der User weiß WAS die Äpps damit machen, nicht dass sie es machen. Also sollte er mir das erklären. Kann er nicht, weils nicht geht. Das ist eben die Klugscheißerei, der User bla bla bla.
 
@Oruam: Da steht nix, da steht nur, dass, nicht warum genau!!!
 
@mcbit: wo benötigt camera 360 deine kontaktdaten? bei Persönlicher information? Das sind nicht kontakte sondern logs
 
@mcbit: ausserdem werden bei sensiblen berechtigungen die funktionen beschrieben: bsp camera360 unter Netzwerkkomunikation: Netzwerkstatus anzeigen und WLan Status anzeigen, Systemtools: Schnellzugriff installieren, Hardwaresteuerung: Vibrationsfunktion steuern.
 
@Oruam: Erzähle nicht. Ich hatte es gelöscht, als zu einem Update auf einmal die Berechtigung "Kontaktdaten lesen" dazu kam. Das muss ein Camera-App nicht. Obs noch so ist, weiß ich nicht, ist mir auch egal. Aber genau das habe ich schon öfters gehabt, Apps, die Kontaktdaten lesen will und vollen Internetzugriff verlangt, was in der Kombination eher nicht vertrauensweckend ist, vor allem, wenn die Funktion des Apps/Spiels das überhaupt nicht erfordert.
 
@mcbit: Dann hast du gut reagiert. Aber wie gesagt, meistens wird in der appbeschreibung erklärt wozu diese rechte benötigt werden. bei der Netzwerkkomunikation "Vollständiger Internetzugriff" ist wie beschrieben der Status gemeint, und das steht da ganz gross drunter. Natürlich wird da nicht ins detail beschrieben wozu der netzwerkstatus ausgelesen wird, aber da sollte sich das hirn einschalten. ausserdem ist es absolut nicht notwendig so überrissen zu reagieren.
 
@mcbit: und wer es ganz genau haben möchte: http://goo.gl/mlLVz nur um ein beispiel zu nennen.
Edit: natürlich zuerst auf "Berechtigungen" klicken
 
@Oruam: iOS steht hier nicht zur debatte. Zumal Apple die Apps zumindest prüft
 
Smartophones und deren Apps scheinen ja genauso "sicher" zu sein wie das aufkommende Cloud-Zeugs. Ich finde wenn die SmartphoneOS-Entwickler schon Apps von Noobs annehmen, reicht es nicht nur Richtlinien für die Entwicklung rauszugeben. Man muss die Appentwickler technisch zwingen gesammelte oder generierte Daten sicher abzulegen. Vielleicht über API-Funktionen die einen sicheren Speicherbereich auf dem Phone ansprechen, in dem jede App ihren eigenen Speicherslot hat.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.