Auch ohne Berechtigung: Android-Apps nutzen Tricks für Datenzugriff

Eigentlich soll das Berechtigungssystem von Android den Zugriff von Apps auf Daten regeln. Eine neue Untersuchung zeigt aber, dass manche Entwickler dieses System mit teilweise ausgefeilten Tricks umgehen. So ist es ihren Anwendungen auch ohne Erlaubnis der Nutzer möglich, auf sensible Daten wie den Standort zuzugreifen.

1325 Anwendungen kommen auch ohne Rechte an Daten

Android-Nutzer kennen das System, das Apps den Zugang zu Daten erlaubt: Will eine Anwendung auf Daten Zugriff nehmen, wird der Nutzer mit einem Pop-up zur Berechtigung aufgerufen - diese kann in den Einstellungen auch wieder entzogen werden. Wie jetzt Golem in seinem Bericht schreibt, hat ein Forscherverbund der Berkeley University (USA), des IMDEA Networks Institute (Spanien) und der Universität Calgary (Kanada) jetzt aber in einer großangelegten Untersuchung entdeckt, dass einige Apps dieses System austricksen.

Basis der Untersuchung waren 88.000 Apps, die im US Google Play Store vertrieben werden. In einer kontrollierten Umgebung wurde dann untersucht, auf welche Informationen die Apps versuchen, Zugriff zu nehmen. Die Entdeckung der Forscher: 1325 Programme konnten auf Daten zugreifen, ohne dass die entsprechende Berechtigung erteilt worden war. Für Serge Egelman, Mitglied des Autorenteams der Studie, ist klar, dass das Android-Berechtigungssystem in seiner jetzigen Form wenig Sinn ergibt: "Wenn App-Entwickler das System einfach umgehen können, dann ist es relativ sinnlos, Verbraucher um Erlaubnis zu bitten."

Unterschiedliche Methoden

So beschreiben die Forscher, wie beispielsweise die Bildbearbeitungs-App Shutterfly Standortdaten ohne entsprechende Berechtigung sammelt. Die Anwendung greift dabei auf die Geodaten zu, die in kürzlich angefertigten Bildern in den Metadaten vorliegen können - sie hat also keinen Zugriff auf Livedaten, kann aber über einige Zeit dann Bewegungsprofile erstellen. Insgesamt hatten die Forscher bei 70 Apps verschiedene Methoden entdeckt, die Zugriff auf Standortdaten ohne Berechtigung ermöglichen.

Eine weitere Methode zum unberechtigten Datenzugriff wurde in der Monetarisierungsanwendung Salmonads aus Südkorea entdeckt. Andere Apps, die den Dienst verwenden, haben üblicherweise Zugriff auf IMEI, Werbe-ID oder MAC-Adresse. Salmonads sorgt dafür, dass diese Daten auf der SD-Karte des Geräts abgelegt werden und für andere Apps zur Verfügung stehen, die den Dienst nutzen - und das nur mit der Berechtigung, auf die SD-Karte zugreifen zu dürfen. Diese Methode nutzen 153 der untersuchten Apps - unter anderem Anwendungen von Disney und Samsung.