Google erschwert Erteilung von erhöhten Berechtigungen an Android-Apps

Überzogene Rechte von mobilen Anwendungen sind schon seit langem ein Problem für die Sicherheit und den Schutz der Privatsphäre, insbesondere für die Android-Nutzer, die sich Apps aus verschiedenen Quellen herunterladen, nicht nur von Google.

Zu besonderer Berühmtheit brachte es der Fall des Unternehmens Goldenshores Technologies LLC, das sich auf eine außergerichtliche Regelung der Klage der Federal Trade Commission der USA einigte, in der die Firmad des Betrugs von Anwendern beschuldigt wurde, die sich eine Taschenlampen-App für Android heruntergeladen hatten. Die App forderte von ihnen eine übertriebene Zahl an Berechtigungen, inklusive Zugriff auf Geolokalisationsdaten, die dann an Werbenetze weitergegeben wurden.

Ende Mai, auf der alljährlichen Konferenz Google I/O, stellte Google ein neues System vor, das auf Android erscheint und diese Plattform etwas weiter dem Apple-Modell angleicht. Dieses System ermöglicht es den Anwendern Apps herunterzuladen, ohne diesen Rechte einräumen zu müssen. Während eine Anwendung benutzt wird, erfragt sie beim Nutzer eine Erweiterung ihrer Berechtigungen.

Früher waren mobile Apps allzu gierig und forderten Zugriff auf Kontakte, SMS, die eingebauten Kameras und Mikrofone, auf die Galerie und so weiter. Schädliche Apps können daraus einen Nutzen ziehen, beispielsweise indem sie Premium-SMS verschicken, die den Nutzer eine Stange Geld kosten und einem Verbrecher große Gewinne bescheren. Normalerweise werden Berechtigungen sofort während des Downloads erteilt, und in der Regel stimmen Nutzer, die in Sicherheitsfragen nicht besonders aufgeklärt sind, allen gestellten Bedingungen zu, nur um die gewünschte App so schnell wie möglich installieren zu können.

Als Illustration veröffentlichte das britische Information Commissioner’s Office (ICO) im letzten September einen Bericht, in dem 1.200 populäre Apps sowie die Berechtigungen untersucht wurden, die sie fordern. Ein großer Teil der Anwendungen (85%) – so das Fazit des Berichts – erklärt den Anwendern nicht, so wie es sich gehören würde, welche Informationen wie gesammelt und wie sie verwendet werden; in den meisten Fällen ist sogar das Vorhandensein einer Datenschutz-Policy überaus fraglich.

In der Eröffnungsrede der Konferenz I/O sagte ein Google-Vertreter, das Unternehmen hoffe, dass das neue System Entwickler ermutige, von Beginn an Datenschutz und Sicherheit zu berücksichtigen und weniger Daten von den Geräten – und somit auch von den Anwendern – zu fordern. Mit dem neuen System müssen die Anwender einmalig entscheiden, ob sie den Apps bestimmte Berechtigungen gewähren oder nicht – in dem Wissen, dass ein Verweigern die Möglichkeiten und die Funktionalität der Anwendung einschränken könnte.

„Ich hoffe, dass das System dazu beiträgt, das Bewusstsein der Nutzer zu schärfen sowie ihr Verständnis dafür, welche Auswirkungen jeder Anwendung, die sie installieren, auf die Sicherheit hat“, sagte Steve Manzuik, Leiter der Sicherheitsforschung bei Duo Security.

Google bewegt sich langsam in diese Richtung, seitdem die Version Android 5.0, auch genannt Lollipop, erschienen ist, in der die Durchsetzung einer Politik auf Kernelebene via SE Linux erschienen und per Standardeinstellung die Verschlüsselung des Geräts aktiviert war. Diese beiden Schritte tragen dazu bei, das Risiko übersteigerter Berechtigungen zu vermindern, indem dem Kernel erlaubt wird, die Berechtigungen der Apps zu steuern.

Der erste Android-Sicherheitsbericht von Google, der im April veröffentlicht wurde, enthält einige genaue Zahlen zur Effizienz anderer Sicherheitsmaßnahmen in diesem Betriebssystem, unter anderem Verify Apps (ehemals Bouncer) und Safety Net. Beide verringern die Zahl der potentiell gefährlichen Apps, die Anwender aus Google Play laden können. So wird im Bericht beispielsweise darauf hingewiesen, dass auf weniger als einem Prozent der Android-Geräte gefährliche Anwendungen installiert sind, und nur auf 0,15% der Geräte, die Apps ausschließlich aus Google Play geladen haben, ist eine gefährliche Anwendung installiert.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.