Wie sich Berechtigungen in Android aushebeln lassen

01. Dezember 2012
Reiner Backer Von Reiner Backer, Windows, Hardware, Linux ...

Eigentlich ist die Idee genial. Nicht mehr der Nutzer, sondern jede einzelne Anwendung hat spezifische Berechtigungen, was den Zugriff auf Informationen und Funktionen anbelangt.

Berechtigungen als Trennwände zwischen Android-Apps sind zu durchlässig. Was bei Android aber als Trennwand zwischen den einzelnen Apps gedacht war, um die Sicherheit zu erhöhen, erreicht das selbstgesteckte Ziel nur unzureichend. Die Wände sind einfach zu durchlässig.

Vorsicht Falle: So werden Berechtigungen umgangen

Eine Android-App hat nur begrenzten Zugang zu Systemressourcen. Sie benötigt explizit eine Berechtigung, um auf Kamera-, Bluetooth- und Telefoniefunktionen oder Standortdaten à la GPS zuzugreifen, Netzwerk- und Datenverbindungen aufzubauen oder SMS- und MMAS-Dienste zu nutzen. Diese Berechtigungen können aber mit den kriminellen Taktiken umgangen werden.

  • Verfügt eine App nicht über die Berechtigung, um beispielsweise eine Verbindung zum Internet aufzubauen und um Daten an eine Webadresse zu senden, dann kann sie eine andere App, die diese Berechtigung besitzt, zu diesem Zweck missbrauchen.
  • Protokolle sind eine feine Sache, speziell für App-Entwickler, die ihre neuesten Kreationen von den letzten Fehlern befreien wollen. Doch leider zeichnet Android auch Informationen auf, die für Cyberkriminelle von höchstem Interesse sind. So merkt die Android-Protokollierung sich in bestimmten Versionen beispielsweise die Webadressen, die ein Anwender öffnet. Werden diese Adressen abgegriffen, erfahren die Cyberkriminellen, welche Seiten ein Nutzer bevorzugt, und können ihn auf eine gefälschte Version davon locken.
  • Auch GPS-Daten lassen sich mitschneiden, wenn der vom System angebotene GPS-Dienst genutzt wird. Cyberkriminelle können dadurch im schlimmsten Fall die Bewegungen des Besitzers des Android-Geräts nachverfolgen.
  • Zahlreiche App-Komponenten benötigen keine eigenen Berechtigungen, und die wenigsten Entwickler achten darauf, weil sie davon ausgehen, dass diese Komponenten für andere Apps nicht sichtbar sind. Eine bösartige App könnte aber genau danach suchen und sie dann aufrufen.

Tipp! Anwender, die befürchten, dass ihr Android-Gerät durch bösartige mobile Apps infiziert sei, können mit dem kostenlosen App-Scanner von Trend Micro die Schädlinge entdecken und entfernen.

Quelle: Trend Micro

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"