Wie mehrere Medien berichten, zeigten Forscher im Rahmen der PrivacyCon 2019, dass zahlreiche Android-App-Hersteller die eingebauten Sicherheitsmaßnahmen von Android-Smartphones umgehen. Einige Anwendungen konnten sogar mittels verdeckter Kanäle Daten sammeln, obwohl der User den Zugriff verboten hatte.
Die Forschergruppe des International Computer Science Institute (ICSI) in Berkeley untersuchte insgesamt 88.113 Android-Apps aus dem Google Play Store, im Speziellen ob und wie die Apps bei untersagten Berechtigungen Daten übertragen, berichtet das Magazin stern.de. Das Ergebnis sei schockierend: Mehr als 1000 Apps sammelten laut Studie personenbezogene Daten, obwohl dies untersagt war. Die gängigsten Tricks dabei: Über Umwege gesammelte MAC-Adressen des Smartphones oder Routers, Auswertung von in Fotos versteckten EXIF-Daten zur Standortlokalisierung, unerlaubtes Auslesen von Daten, die erlaubterweise in anderen Apps (ungeschützt) gespeichert sind (z.B. Seriennummern von Geräten). Durch diese Methoden lassen sich Anwender bzw. deren Geräte eindeutig identifizieren und Aktivitäten ggf. über mehrere Geräte verfolgen.
Offiziell interagieren Apps im Allgemeinen mit Android über Software-Hooks, die als APIs bezeichnet werden, und geben dem Betriebssystem die Möglichkeit, ihren Zugriff zu verwalten, erklären die ICSI-Forscher. „Während die Android-APIs durch das Berechtigungssystem geschützt sind, ist dies beim Dateisystem häufig nicht der Fall“, meint Serge Egelman, Forschungsdirektor der „Usable Security and Privacy Group“ am ICSI. „Es gibt Apps, denen der Zugriff auf die Daten verweigert werden kann, die sie jedoch an verschiedenen Stellen im Dateisystem finden.“
Einige dieser Apps verzeichnen laut Medienberichten mehr als fünf Millionen Downloads, etwa die Fotobearbeitungs-App Shutterfly. Den Forschern zufolge seien einige Android-Apps in der Lage, untereinander personenbezogene und auch sensible Daten zu tauschen, ohne dass den Nutzern dies bewusst wäre. Es sei theoretisch möglich, dass man einer seriösen App den Zugriff auf private Daten erlaubt, auf die auch andere Anbieter Zugriff hätten. Eine vollständige Liste der mehr als 1.300 Apps soll im August auf der Usenix Security Conference veröffentlicht werden.
Große Sicherheitslücken bei Android
Die Forschergruppe hat Google bereits im September 2018 über Schwachstellen informiert. Laut Google sollen die Lücken mit der Betriebssystem-Version Android Q geschlossen werden, die voraussichtlich im Herbst verfügbar sein wird. Problematisch ist daran, dass die Mehrzahl der Android-User kein aktuelles Betriebssystem nutzt sondern eine der älteren Versionen.
Die Studie finden Sie hier.
Quellen: Originalstudie, ICSI und diverse Medienberichte wie etwa von stern.de oder ntv.