News Datenschutz: Android-Apps spähen Nutzer ohne Rechte aus

[Tuxgamer42]

Das war der Sinn der Übung. Dir zu zeigen, dass deine Unterscheidung zwischen "Logikfehler" und "Programmierfehler" hinten und vorne nicht funktioniert.

selbstverständlich funktioniert das, das lernt jeder Softwareentwickler in den ersten zwei Wochen!

Ich verbessere: Deine Unterscheidung funktioniert aus der Perspektive "Sicherheit" hinten und vorne nicht.

Was du schon allein daran hättest merken sollen, dass du Thema Sicherheit völlig unbedenktliche Fehler wie "ein Tippfehler oder ein fehlender Strichpunk" (da das Programm nicht einmal startet) mit potentiell extrem kritischen Fehlern "Zugriffsfehler" in einem Schwung nennst.

Nun zum eigentlich wichtigen:
Löse dich doch bitte mal von dieser völlig falschen Vorstellung, "Virus" oder allgemein "Hacking" beschränkt sich nur auf die Ausnützung der paar üblichen Verdächtigen, die du bei C++-Programmierung gerne hast (wie verschiedene Overflows, Null Pointer etc).

Um mal einen wichtigen Satz aus dem Buch "Hacking: The Art of Exploitation" zu zitieren (übrigens sehr zu empfehlen):

The essence of hacking is finding unintended or overlooked uses for the
laws and properties of a given situation and then applying them in new and
about that.

Es gibt nun einmal das, was der Programmierer will. Und die Regeln, denen das Programm folgt. Beispiel:

ja - und? Wenn ich eine solche Lücke ausnutze umgehe ich weder irgendwelche Rechte noch sonst etwas.

Nein, selbstverständlich ist es nicht so gewollt, dass du wortwörtlich zu einem fremden PC (zu dem du keinen Zugang hast!) gehen kannst, 70 Sekunden Enter hällst und allen ernstes root-Rechte hast.

Steht aber eben trotzdem so im Programm. So lächerlich der Fehler auch klingt; hat halt niemand dran gedacht. Aber ist häufig bei Sicherheitslücken, dass man im Nachhinein deckt: "Wie doof?"

Ebenso wie es schlicht und einfach nicht gewollt ist, dass ein Programm an den Nutzerstandort gelangt ohne die entsprechende Permission zu besitzen.
Das Programm hällt sich an alle Regeln - macht aber trotzdem etwas, was einfach nicht gewollt ist.

Oder um vielleicht deine Begriffe zu verwenden:

Alle Logikfehler sind grundsätzlich Programmierfehler. Manche Programmierfehler sind Sicherheitslücken.

Und ja: Selbstverständlich nutzen Viren sowohl Fehler wie Speicherzugriffsfehler - als auch Logikfehler (als auch den Nutzer selber) aus.

Und jetzt wird mir die Diskussion wirklich zu blöd . Vielleicht verstehst (irgendwann), was ich meine. Wenn nicht ist auch egal.
Gruß
Tuxgamer

 

[cryeR]

Handykameras und Fingerabdrucksensoren werden von den Herstellern fast schon subvensioniert, warum wohl xD

 

[Thomaswww]

(Benutzer-)daten sind das neue Öl.

 

[Hylou]

Es gibt noch eine 3. Methode.
Einfach nach den notwendigen Berechtigungen fragen, 99% der Benutzer klicken sowie ohne nachzudenken auf JA.

Es gibt noch eine 3. Methode.
Einfach nach den notwendigen Berechtigungen fragen, 99% der Benutzer klicken sowie ohne nachzudenken auf JA.

Weil die meisten Apps auch ihre Dienste verweigern wenn du Nein stimmst.

 

[Fred_VIE]

Es gibt schon seit zumindest 2016 Apps, welche anzeigen, ob und welche Rechte sich div. Apps nehmen. Schon damals war klar, dass die Rechte, welche wir vergeben können, permanent ignoriert werden und auf so ziemlich alle persönliche Daten zugegriffen wird. Sogut wie jede App greift auf Telefonnummer, Anrufdaten, Kontakte, SMS und Kalender zu. Mit der Telefonnummernsuche kann man dann recht einfach Namen und Adressen der User in Erfahrung bringen. Mit dem Kalender kann man gut verfolgen, was die Leute so treiben.

Schon seit damals wundere ich mich, warum da bisher niemand aufbegehrt hat. Ich habe 90 % der Apps nicht installiert, weil mir ein Programm gesagt hat, wenn diese auf persönliche Daten Zugriff nehmen möchten, obwohl bei Installation weder nach Rechten gefragt wurde, noch welche gegeben wurden.

Kann nur grad nicht sagen, wie die App heißt, weil mein Tablet in letzter Zeit unbenutzt in der Ecke liegt und dauernd leer ist.

Ergänzung (10. Juli 2019)

Weil die meisten Apps auch ihre Dienste verweigern wenn du Nein stimmst.

Und? Dann verwende sie einfach nicht. Die lernen nur so

Ich frag mich schon seit Jahren, warum die Leut sich das gefallen lassen. Sie glauben wahrscheinlich, dass sie nichts zu verbergen haben. Nur ist das genauso wie zu sagen, dass die Einschränkung der Meinungsfreiheit eh nicht so wichtig ist, weil man selbst nichts zu sagen hat.

 

[Madman1209]

Hi,

Und jetzt wird mir die Diskussion wirklich zu blöd . Vielleicht verstehst (irgendwann), was ich meine. Wenn nicht ist auch egal.

Ich verstehe das längst. Nur weil ich es verstehe hast du halt aber leider trotzdem nicht Recht. Aber mir ist das eh schon lange zu blöd, also lassen wir es einfach.

VG,
Mad

 

[G00fY]

Ist das Lesen und Schreiben auf den Speicher nicht schon relativ schnell nötig?

Ja das ist es tatsächlich. Vermutlich so ziemlich die häufigste Permission. READ_EXTERNAL_STORAGE hat auch per se nichts mit der SD-Karte zu tun. Sondern beschreibt einfach den Speicher außerhalb des für eine App immer reservierten, privaten Speichers. Daher kommt mit Q (dort per Default und ab R zwingend) bald Scoped Storage.

Wenn ich der App also kein Recht einräume, den Standort abzurufen, aber das Recht, Photos zu betrachten, dann habe ich ihr trotzdem das Recht gegeben, meinen Standort abzurufen?

Das ist aber eben auch die Gefahr, wenn man die Option zum Speichern der Geo-Daten in den Fotos aktiviert. Theoretisch kann auch der Foto-Drucker im Drogeriemarkt somit feststellen, wo die Kunden gerne Fotos machen.
Das Auswerten solcher Daten ohne Zustimmung des Nutzer ist natürlich eine üble Sache. Aber schockt das wirklich noch jemanden? Wie viele Apps dürfen meine Fotos durchblättern, damit ich diese Teilen kann. Praktisch jede Social-Media App. Ist die Frage wie man so etwas einschränken kann, ohne die Akzeptanz der User zu verlieren.

Wie bereits gesagt, Google müsste deutlich intensiver Prüfen und große Werbe-SDKs regelmäßig untersuchen. Meine Intention ist auch nicht Google in irgendeiner Weise in Schutz zu nehmen. Nur sitzt das Problem viel tiefer und ist nicht so einfach auf "hacky OS" mit "fehlerhaften Rechtesystem" zurückzuführen...

Es gibt schon seit zumindest 2016 Apps, welche anzeigen, ob und welche Rechte sich div. Apps nehmen. Schon damals war klar, dass die Rechte, welche wir vergeben können, permanent ignoriert werden und auf so ziemlich alle persönliche Daten zugegriffen wird.

Lies den Artikel nochmal aufmerksam. Deine Theorie, dass sich Apps einfach Rechte nehmen können ist technisch nicht möglich. Das ging auch noch nie. Android Apps laufen in einer abgeschotteten Sandbox.

 

[spinthemaster]

apple ist im moment die sicherste wahl.

Du scheinst mir recht empfänglich für Apple's Marketing zu sein.

Daher würde mich interessieren, was du dazu sagst:

Apps auf dem iPhone, die munter Daten versenden

 

[Kiergard]

Gabs nicht irgendeine Möglichkeit um jede App sandboxen zu können um sie damit mit falschen Daten zu füttern?

 

[tomasvittek]

Du scheinst mir recht empfänglich für Apple's Marketing zu sein.

Daher würde mich interessieren, was du dazu sagst:

Apps auf dem iPhone, die munter Daten versenden

es gab tests dazu wieviel apps nachhause senden. ergebniss: android sendet 10x !!! so viel daten wie ios...

du, ich mach hier kein geheimnis draus das ich apple produkte gerne benutzen. bin mit dem 3GS damals eingestiegen und entzwischen bin ich richtig tief in dem ganzen system drin (watch, tablett etcetc) und sehe zu dem ganzen ökosystem keine konkurrenz (leider!)

ich lese jeden tag technews und höre gerne techpodcasts. ich meine das ich überdurchschnittlich gut informiert bin. aber wenn es für dich leichter ist jeden als fan abzutuen der apple produkte nutzt... go on... nur bist DU dann das klischee, nicht ich 😉

quelle: https://m.economictimes.com/magazin...s-more-data-than-ios/articleshow/65517731.cms

edit: versuch echt mal innezuhalten und darüber nachzudenken. doppelt so viel daten wären unverschämt. 4x so viel daten lächerlich. aber wir reden hier von 10 mal so viel! wirklich, das ist doch mit nix mehr zu erklären!

 

[spinthemaster]

Du "Innehalter" hast leider nicht meine Frage beantwortet...

 

[tomasvittek]

Du "Innehalter" hast leider nicht meine Frage beantwortet...

keine ahnung was du hören willst? das kein betriebssystem zu 100% sicher ist? das es trotzdem massive unterschiede gibt wie sicher sie sind? das apple bisher im vergleich deutlich weniger falsch gemacht hat?

wenn es um die freiheit des BS geht hat keiner ein problem darauf hinzuweisen das apples system geschlossener ist als android. wieso ist es so ein problem sich einzugestehen das diese mauern aber auch die wirkung haben das es eben sicherer ist?

niemand ist perfekt, die link die du geschickt hast ist ein bsp. dafür das apple nicht perfekt ist. wenn du jetzt aber das gesamtbild anschaust dann ist es nicht schwer zu erkennen das es eben immernoch x mal sicherer ist als das offene android.

p.s.: nochmal zu deiner link: du kannst jeder app indiv. zugestehen ob sie hintergundaktuallisierungen an haben darf oder nicht. mit dem neuen ios 13 das im dezember kommt bekommst sogar benachrichtigungen wenn sich apps ans bluetooth connecten wollen und kannst das abdrehen (hab die beta drauf, die einzigen 2 apps die bei mir bisher völlig wild nachhause telefonieren wollten waren google maps und youtube. ich sitze gemütlich im wohnzimmer. hab beide apps ewig nicht genutzt und auf eimal: pop up! youtube will die erlaubnis sich per BT zu connecten! wtf google...

gruß,

tomas

 

[Xedos99]

Weder Google noch Apple werden verhindern,das
Apps von Drittanbietern uns ausspähen.Schließlich verdienen sie an den Apps mit und betreiben selber Datensammlung.

 

[Bob.Dig]

Wer ist jetzt Rechtelos, der Nutzer oder die App? 😉

 

[Tuxgamer42]

es gab tests dazu wieviel apps nachhause senden. ergebniss: android sendet 10x !!! so viel daten wie ios...

Dein Link ist grundsätzlich Themaverfehlung - weil da geht es um Daten, die das Betriebssystem selber sendet. Hier geht es grundsätzlich um Daten, die Apps von Drittanbietern senden.

Gut - aber um jedenfalls doch auf den Link einzugehen:

Ob mein Standort z.B. idle innerhalb 24 Stunden 340 mal übertragen wird. Oder deutlich weniger. Ich sage dir: Letztendlich sehe ich da nicht den großen Unterschied.
Denn ich möchte, dass mein Standort schlicht und einfach gar nicht übertragen wird. Und nichts weniger.
Und als "lächerlich" empfinde ich höchstens, Datenschutz daran zu messen, wie viel Daten absolut übertragen werden.

Und Android habe ich immerhin die Möglichkeit, ein blankes System (AOSP) ohne den ganzen Blödsinn (Google Anwendungen) zu installieren.

wenn es um die freiheit des BS geht hat keiner ein problem darauf hinzuweisen das apples system geschlossener ist als android. wieso ist es so ein problem sich einzugestehen das diese mauern aber auch die wirkung haben das es eben sicherer ist?

Weil es schlicht und einfach nicht stimmt?

Also wenn, dann kannst du verschiedene technische Vorkehrungen anführen, die iOS implementiert hat. Die man aber auch in ein offenes System implementieren hätten können. Und Google in der Regel auch einfach für Android kopiert HUST .

mit dem neuen ios 13 das im dezember kommt bekommst sogar benachrichtigungen wenn sich apps ans bluetooth connecten wollen und kannst das abdrehen

Den Sinn wiederum sehe ich spontan nicht.

Du brauchst doch so oder so Permission "Location Services" für Bluetooth-Scanning?

Viel spannender finde ich jedoch, dass Wlan und Bluetooth schlicht und einfach nicht aus sind - auch wenn du auf den entsprechenden Button geklickt hast! Sondern eben trotzdem noch für Standortbestimmung fleißig scannt. Oder sich aktiviert, wenn du irgendwo hin läufst. Oder sich aktiviert, wenn es zufällig 5 Uhr morgens ist (#keinScherz).

Yep, und das müsste man eigentlich Google dann doch positiv anerkennen: Android gibt es bereits die Option, Wlan/Bluetooth-Scanning zu verbieten, wenn Wlan und Bluetooth ausgeschalten ist.[/QUOTE][/QUOTE]

 

[LGTT1]

Genau das, aber Buchstaben genau, wollte ich auch schreiben..

Bei Android bist du halt das Produkt..

Das ist so wie es dort steht blödsinn, kannst Microsoft mit Windows 10 oder selbst Apple damit reinzählen wenn die Unternehmen selbst möglichkeiten haben Daten abzugreifen obwohl der Nutzer "Nein" sagt kann das auch eine App auf ähnlich verworrenen Wegen, von dem Wahnalles in irgendwelchen Clouds abzulegen und Jahre später festzustellen das die ttform von AUßen nicht so sicher war wie gedacht ganz zu schweigen. Bei Microsoft und Apple fallen die Lücken nur meist später auf oder werden still und heimlich gefixt wie bei das bei Closed Source nunmal so ist.

 

[JimPanse1984]

Gabs nicht irgendeine Möglichkeit um jede App sandboxen zu können um sie damit mit falschen Daten zu füttern?

Tja genau das tat Windows Phone 7 im Jahre 2010 Jede App abeschottet in der eigenen Sandbox. Nur hat dann wieder jeder gemotzt, dass App A keine Daten von App B lesen kann. Darauf hin wurde das ganze mit Phone 8 gelockert und mit Mobile 10 komplett über den Haufen geworfen.

Wie du siehst, recht machen kann man es niemandem

 

[Garack]

Das ist so wie es dort steht blödsinn, kannst Microsoft mit Windows 10 oder selbst Apple damit reinzählen wenn die Unternehmen selbst möglichkeiten haben Daten abzugreifen obwohl der Nutzer "Nein" sagt kann das auch eine App auf ähnlich verworrenen Wegen, von dem Wahnalles in irgendwelchen Clouds abzulegen und Jahre später festzustellen das die ttform von AUßen nicht so sicher war wie gedacht ganz zu schweigen. Bei Microsoft und Apple fallen die Lücken nur meist später auf oder werden still und heimlich gefixt wie bei das bei Closed Source nunmal so ist.

Google ist doch ganz klar ein Unternehmen welches auf BiG Data basiert. Apple eben nicht.

Ohne das dies folgendes als Argument gelten soll, eher fun fact:
Schon mal versucht bei Androiden den Assistent auszuschalten? Bei ca. 10 verschiedenen hab ich es versucht und die Knöpfe dazu sind so versteckt und oft anders. Manchmal geht es auch komplett gar nicht..oder es kommt bei nächsten Update wieder.

Dann Die ganzen Hersteller die auch Daten abgreifen wollen. Samsungs Bixbi bekommste vom S10 nicht mal runter von der , tata, Hardware Taste, lol, ohne dich bei Bixbi anzumelden.

Iphone? Assistent? Siri kannste ausmachen. Punkt. Und es geht endlos so weiter in dem Software Vergleich..und in der Hardware..und natürlich im Marketing Prinzip.

 

[LGTT1]

Google ist doch ganz klar ein Unternehmen welches auf BiG Data basiert. Apple eben nicht.

Iphone? Assistent? Siri kannste ausmachen. Punkt. Und es geht endlos so weiter in dem Software Vergleich..und in der Hardware..und natürlich im Marketing Prinzip.

Hast ja soweit recht man sollte, nur nie ein Unternehmen so in Schutz nehmen, auch Apple hat mit den ganzen Health und Gesundheitsfeatures auch den großen Big Data Markt im Blick. Alles kann und wird sich gegen einen wenden wenn man nicht stets achtsam mit allem umgeht.

 

[SSJ]

Sind bestimmt nur Chinesen, denn nur die spähen Andere aus.