Werbung

Artikel

Malware-Risiko: Diese Lücken stecken hinter den App-Berechtigungen von Android

Malware-Risiko: Diese Lücken stecken hinter den App-Berechtigungen von Android
Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • Aktualisiert:

Beim Installieren von Apps auf dem Android-Smartphone gibt man den kleinen Programmen bestimmte Berechtigungen. Aber was erlauben wir eigentlich genau? Besteht eine Gefahr für Privatsphäre und Sicherheit?

Damit Apps die eingebaute Smartphone-Kamera benutzen, ins Internet gehen oder andere Handy-Ressourcen nutzen können, benötigen diese bestimmten Berechtigungen. Die Apps kann man nur installieren, wenn wir die Berechtigungen zulassen und das geht nur nach dem Prinzip alles oder nichts. Das Problem entsteht jedoch oft durch die Kombination von Berechtigungen: Alle zu prüfen ist sehr mühsam, deshalb stimmen wir oft ungesehen zu.

Dieses leichtsinnige Zustimmen kann aber unangenehme Konsequenzen, wie das ungewollte Versenden von SMS oder den Diebstahl von persönlichen Daten haben. Das Überprüfen der Berechtigungen dauert im Grunde weniger als eine Minute – eine Minute, die einem später viel Ärger – wie das Ändern aller Passwörter – ersparen kann.

Im Folgenden führen wir die Berechtigungen und damit zusammenhängende Gefahren auf.

In-App-Käufe: Vorsicht vor Betrug!

Mit diesen wird das Kaufen außerhalb von Google Play möglich. In Spielen wie Candy Crush kann man beispielsweise Objekte kaufen, mit denen man ins nächste Level aufsteigt. Andere Apps nutzen dies jedoch zum Erpressen von Geld, und zwar aus den verschiedensten Beweggründen.

Die Malware Fakedefender war zum Beispiel ein falsches Antivirusprogramm, das einen mit Sicherheitswarnungen zu Käufen verleitete. Ein anderes bösartiges Beispiel sind augenscheinlich ganz harmlose Spiele, die besonders Kinder zu In-App-Käufen verführen.

Android Defender, ein falsches Antivirusprogramm, das dem Nuzter Geld durch In-App-Käufe abschwatzte.

Wer sich vor Problemen mit den In-App-Käufen schützen will, kann in Google Play einen Passwortschutz aktivieren. So schützt man sich vor falschen Versprechungen und Zwangskäufen.

Mobile Daten / WLAN: die Hintertür zum Datenklau

Beide ziemlich harmlos, da sie lediglich die Internetverbindung herstellen. Und jede App, die eine Internetverbindung braucht, wird diese verlangen. Gefährlich wird es aber, wenn die Internetverbindung mit anderen Berechtigungen kombiniert werden, denn so können Apps auch Daten nach außen schicken.

Das Duo Kontakte lesen und mobile Daten sollte einen zum Beispiel beunruhigen. Wozu braucht ein Terminplaner ohne Internetservice eine Internetverbindung? Wegen der Werbung? Man sollte auf jeden Fall vorsichtig sein. Im Zweifelsfall kann man die Internetverbindung durch eine Firewall blockieren. Ein Trick, der auch Werbeanzeigen bei Spielen verhindert.

App-Historie und Lesezeichen: Braucht eine App die Daten wirklich?

Mit diesen Berechtigungen gibt man Informationen über Telefondaten wie angesurfte Websites, Lesezeichen oder ausführende Apps frei. Das ein Browser, App-Manager oder ein soziales Netzwerk einen Zugang zu der App-Liste und den Lesezeichen verlangt ist plausibel. Bei einem Spiel sieht das jedoch anders aus.

Wenn ein Browser wie Chrome auf die Chronik und Lesezeichen zugreifen will, ist das normal.

Die Risiken für die eigene Privatsphäre liegen dabei auf der Hand: Genau diese Daten wollen NSA oder andere Spione der Surfgewohnheiten. Manche Apps greifen jedoch gar nicht auf den Telefonspeicher zurück, wozu wollen sie dann also die App-Liste?

Identität und Konten: für alle Apps offen?

Über die Identitätsberechtigung kann eine App auf persönliche Daten zugreifen. Dazu gehören auch im Telefon gespeicherte Konten. Bei sozialen Apps wie Facebook oder Twitter ist dies sinnvoll. Bei anderen Apps sieht das anders aus und ein Virus mit dieser Berechtigung könnte theoretisch sogar Konten löschen.

Kontakte / Kalender: Vorsicht beim Teilen des Terminkalenders!

Das größte Risiko steckt hier im Zugang zu den Kontakten sowie zum Terminkalender. Eine bösartige App kann Telefonnummern oder E-Mail-Adressen klauen, Termine aus dem Kalender entfernen oder sogar Personen zu diesen einladen.

Der Virus FireLeaker klaute zum Beispiel Telefonnummern und E-Mail-Adressen und schickte diese an einen Server. Cyberverbrecher verkauften die Daten später an Unternehmen, die E-Mail- und SMS-Spam versenden.

Standort: Muss ein Spiel wirklich wissen, wo man sich gerade aufhält?

Diese Berechtigung gibt Zugang zu den Standort-Sensoren wie GPS. Für Karten, Reiseführer oder Apps, die Fotos und Veröffentlichungen einen Standort hinzufügen ist der Zugriff auf den Standort sinnvoll. Wenn dies jedoch wenig Sinn macht, sollte man Verdacht schöpfen.

Neben dem hohen Batterieverbrauch verletzt die Nutzung dieser Daten nämlich auch die eigene Privatsphäre. Die 2012 entdeckte Malware TigerBot versandte die GPS-Standorte zusammen mit anderen Daten wie aufgenommene Telefongesprächen und Bildern.

SMS: Vorsicht mit kostspieligen Kurznachrichten

Wer diese Berechtigungen sieht, sollte sich fragen, wozu eine App Textnachrichten bekommen, lesen oder verschicken sollte. Manchmal erhält man eine SMS zur Bestätigung. In allen anderen Fällen handelt es sich um einen lukrativen Betrug.

Im Jahr 2014 entdeckte Panda Labs, dass eine Diäten-App mit 300.000 Nutzern diese kostspielige SMS-Pakete aufschwatzte.

Telefon: Die App wählt selbst und macht Anrufe

Die Berechtigung zum Telefonieren werden von Apps wie LINE, WhatsApp und automatischen Anrufblockierern benötigt.

Ist die Benutzung des Telefons jedoch eigentlich nicht notwendig, deuten diese Berechtigungen auf versteckte und kostenpflichtige Anrufe hin. Die 2013 durch Lookout entdeckte Malware MouaBad ermöglichte Cyberpiraten das Führen von sehr kostspieligen Telefonaten ohne das Wissen des Besitzers.

Fotos, Daten und Dateien einsehen

Will eine App Dateien verwalten muss sie um Erlaubnis zum Modizifieren und Löschen von Inhalten bitten. Wann diese Berechtigung mit bösartigen Absichten – wie zum Datenklau – verwendet wird, ist schwierig zu sagen.

Manche Viren versenden Fotos und andere Dateien durchs Netz. Die – immer noch in Google Play erhältliche – App Pixer betrog seine Nutzer und lud Fotos auf seine Server hoch.

Kamera / Mikrofon: Das würde selbst 007 gefallen!

Wird einer App der Zugang zu Kamera und Mikrofon erlaubt, kann diese Fotos, Videos und Audios aufnehmen. Für Apps wie Instagram, Skype oder Facebook notwendig, sollte man bei anderen Apps genauer hinsehen.

Die App PlaceRaider schießt Fotos nach dem Zufallsprinzip und bildet ganze Zimmer nach …

Die App PlaceRaider ist ein gutes Beispiel dafür, dass man Berechtigungen nicht leichtsinnig erteilen sollte: Mit der von US-Forschern entwickelten App können Fotos ohne Erlaubnis aufgenommen und ganze Zimmer nachgebildet werden: Spionage, der man selbst zustimmt.

Geräte-ID und Anruf-Daten: der Personalausweis des Telefons

Unter diesem sehr mysteriösen Namen gibt Android der App die Erlaubnis, das Telefon kennen zu lernen. Dies beinhaltet Informationen wie die IMEI-Nummer, die Identifikationsnummer des Telefons. Und das geht ganz einfach.

Ein Beispiel von Daten-Fishing, das man mit den ID-Berechtigungen betreiben kann.

Mit einer gültigen IMEI kann jeder das Telefon klonen und Anrufe tätigen. Die Rechnung erhält aber trotzdem der Besitzer. Zudem kann er den Telefonanbieter anrufen, das Telefon als gestohlen melden und die Nummer blockieren lassen. Der Virus BadNews ist ein Beispiel für eine solche Malware.

Andere: ein gefährliches Sammelsurium

Neben den typischen Android-Berechtigungen kann eine App aber noch nach Spezialberechtigungen fragen. Eine solche Liste sollte man stets genau überprüfen. Darunter sind nämlich ein paar sehr fragwürdige, wie das Lesen von Nachrichten in den sozialen Netzwerken, der vollständige Zugriff auf das Netz oder die teilweise Kontrolle über das Gerät. Es gibt keine Grenzen und genau hier kann sich die Sicherheitslücke befinden.

Die goldene Regel: alles hinterfragen und einen Berechtigungs-Analyzer verweden

Wer den Verdacht hat, eine Berechtigung macht keinen Sinn, sollte zunächst die Macher fragen: Dazu kann man ihnen eine E-Mail via Google Play schicken oder einen Kommentar schreiben und darauf warten, dass sie antworten. Die Kommentare der anderen und die App-Bewertungen sind ein weiterer Hinweis darauf, ob eine App sicher und vertrauenswürdig ist. Man sollte nie etwas Verdächtiges installieren, ohne sich vorher darüber zu informieren.

Und schon installierte Apps? Dafür gibt es Hilfsprogramme; diese checken alle Berechtigungen der auf Tablet oder Smartphone installierten Anwendungen. Ein erwähnenswertes Beispiel ist F-Secure App Permissions. Die App scannt alle von anderen Anwendungen benutzten Berechtigungen und zeigt Verdächtiges an, so kann man selbst entscheiden, was man tun möchte.

F-Secure App Permissions verteilt je nach benötigten Berechtigungen an jede App Punkte.

Nach all diesen Horrorgeschichten könnte man glauben, Berechtigungen seien per se etwas Schlechtes. Das stimmt aber so nicht: Zum reibungslosen Funktionieren vieler ganz korrekter Apps sind sie unbedingt notwendig. So wie Android mit dem Thema Berechtigungen umgeht, ist allerdings nicht zufriedenstellend, man kann da nämlich leicht mal nicht aufpassen.

Sollten Sie unsicher sein, lesen Sie unsere Tipps und Tricks zu Android.

Bildquellen: Google Play, Tudocelular, MIT, CodePainters, TheDroidGuy

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Editorialrichtlinien