Android-Apps können ohne Berechtigungen sensible Infos ergattern

Sicherheitsforscher zeigt Lücken des Berechtigungssystems auf - Zugriff auf SD-Karte, Paketliste und SIM-Informationen

Das Ziel des Berechtigungssystem von Android ist es nicht zuletzt, den Zugriff auf Systemressourcen und -informationen klar und übersichtlich zu regeln, damit ein unbemerktes Ausspionieren der UserInnen möglichst verhindert wird. Wer also beispielsweise den Standort der NutzerInnen erfahren will, muss diese Funktionalität auch explizit anfordern - worüber wiederum bei der Installation informiert wird.

Untersuchung

Doch was lässt sich eigentlich mithilfe einer App herausfinden, die keinerlei Berechtigungen anfordert? Dieser Herausforderung hat sich Paul Brodeur von der Leviathan Security Group gestellt - und dabei durchaus Interessantes zu Tage gefördert.  So kann auch eine solche App ohne Probleme auf die Inhalte der SD-Karte zugreifen und diese auslesen, etwa dort gespeicherte Fotos oder andere sensible Informationen einsehen.

Erklärung

Dies ist an sich auch wenig überraschend, ist die SD-Karte doch üblicherweise mit dem alten Windows-Dateisystem FAT32 formatiert, das keinerlei Berechtigungsmodell kennt, und so den Zugriff gar nicht beschränken kann. Eine Ausnahme bildet hier nur Googles eigenes Galaxy Nexus, bei dem auch dieser Teil (bzw. das /sdcard-Verzeichnis, eine eigene SD-Karte gibt es hier ja nicht, Anm.) mit dem Linux-Dateisystem ext4 formatiert ist. Doch auch dies bringt wenig, da Google hier aus Kompatibilitätsgründen sämtliche Berechtigungen "wegwirft".

Apps

Ebenfalls ganz interessant dürfte die Liste der installierten Anwendungen sein, die sich über den Zugriff auf /data/system/packages.list herausfinden lässt. Zum Teil konnte man mithilfe dieser Informationen sogar einzelne Dateien anderer Apps auslesen können, was auf fehlerhaft gesetzte Berechtigungen hinweist, wie es etwa bei Skype vor nicht all zu langer Zeit zu einem Sicherheitsproblem geführt hat. Wie ein Kommentar unter dem Bericht von Leviathan allerdings herausstreicht, ist das Auslesen der App-Liste ohne jegliche Berechtigungen auch ganz offen über die PackageManager-Klasse von Android möglich - und offen von Google so spezifiziert.

Infosammlung

Während der Zugriff auf IMEI und IMSI über die PHONE_IDENTITY-Berechtigung abgesichert ist, lassen sich auch ohne diese zumindest manch Informationen über die NutzerInnen herausfinden. So können sowohl SIM- als auch GSM-Netz-Hersteller (also üblicherweise der eigene Netzbetreiber) ausgelesen werden, zudem ist es möglich die eindeutige - aber laut Google nicht auf eine konkrete Person rückführbare - Android ID eines Geräts zu bekommen. Zu guter Letzt kann über den Zugriff auf /proc/version - wie von Linux-Systemen gewohnt - die verwendete Kernel-Version eingesehen werden, was eine recht exakte Zuordnung der eingesetzten Firmware ermöglicht (und wiederum potentiell als Basisinformation für Angriffe genutzt werden könnte).

Trickreich

All dies wäre natürlich rein akademischer Natur, hätte man nicht bei Leviathan auch noch einen Trick gefunden, wie man diese Informationen ohne die eigentlich für jeglichen Netzverkehr nötige INTERNET-Berechtigung verschicken kann: Mithilfe des URI_ACTION_VIEW-"Intent" - der eben keinerlei  zusätzliche Berechtigungen benötigt - lässt sich eine beliebige Adresse an den Android-Browser übergeben und in diesem öffnen. Diesen Umstand macht man sich zunutze und hängt einfach einen GET-Parameter an die URI an, der die gefundenen Infos an den Zielserver übergibt. Dies funktioniert laut dem Forscher zuverlässig und auch mehrmals in Serie, so dass stückchenweise auch größere Datenmengen übertragen werden können. (Andreas Proschofsky, derStandard.at, 13.04.12)

Share if you care
Posting 1 bis 25 von 94
1 2 3
Das weltweit verbreiteste "offene" OS

Wer hat was anderes erwartet?

gibts eigentlich eine app die andere apps überwacht, bzw mitprotokolliert?

ich nutze LBE

damit kann zwar nicht wirkich überwacht werden, aber berechtigungen können eingeschränkt bzw. entzogen werden!

https://play.google.com/store/app... lite&hl=de

pfuuu ...

software von chinesischen? entwicklern. wobei die software dann noch root-rechte benötigt.

i woass net, i woass net.

zwar keine überwachung aber einen gute überblick

bietet dir aSpotCat https://play.google.com/store/app... e.aSpotCat

Sicher nur wird die ziemlicher Sicherheit Rootrechte erforden, was 2fach problematisch ist:

auf einen gerooten Geräte kann eine Schadapp noch mehr machen.
Telefone werden ungerootet verkauft. Man muss das auf eigene Gefahr machen.
Sollten Sie, dass tun empfehle ich: LBE Privacy Guard.

ja, und gibt es

eine app die die überwachungsapp überwacht?

wir fassen zusammen ...

man kann vielleicht irgendwelche (zumeinst recht sinnlose) daten auslesen, diese aber NICHT versenden, ohne dass es der benutzer mitkriegen würde.

wenn über einen intent ein browser-fenster geöffnet wird ... jo, dann ist das offen und kann vom nutzer eingesehen werden. also ... welche daten (angehängte parameter an einen http-get-request) wohin (ip-adresse, domainname) gesendet werden. ich glaub, so eine app würd nicht lange im market oder sonst wo überleben.

schön, welche mühen man sich machen muss, um androids berechtigungssystem zu umgehen ... etwas, das die konkurrenz ja nicht einmal besitzt.

Widerspruch.

Meiner Meinung nach muss ich Ihnen da klar widersprechen: ich kenne wenige Menschen, die ihre Fotos ( fotographierte Passwörter, Pin - Codes, private Scenen, Vorlieben, für welche Autos man sich gerade interessiert etc. - welche Fotos befinden sich im Durchschnitt auf Handys oder auf genau Ihrem? ) gerne anderen unbekannten freiwillig einsichtig machen?
Auch ein Screenshot wäre mir da schon zu viel, das Handy ist einfach schon zu privat geworden, als daß man da einfach drinnen rumblättern lässt.
Deshalb sind da evtl. schon ein paar Menschen zu finden, die was zahlen dafür um das tun zu können - der Markt ist da oder!?

nicht zu vergessen, dass mitprotokolliert wird an welchen server die daten versendet wurden. also ein potentieller angreifer seinen "wohnsitz" mitverrät.

grundsätzlich sollten diese lücken von android geschlossen werden, aber dramatisch ist das wohl nicht.

ausserdem sollten die personen die solche artikel von theverge & co übernehmen sich auch überlegen was "sensible" informationen sind. die versionsnummer des betriebssystems ist bestimmt keine sensible information. wenn bilder auf einem handy sensible sind, dann hat der besitzer was falsch gemacht und es gilt "dummheit bestraft das leben".

Komisch, dabei "do't" doch Google "no evil". Ich hoffe, dass einige Google-Jünger langsam mal aufwachen ...

“ Eine Ausnahme bildet hier nur Googles eigenes Galaxy Nexus, bei dem auch dieser Teil mit dem Linux-Dateisystem ext4 formatiert ist (weswegen es hier übrigens auch keinen USB Mass Storage Modus gibt, Anm.).“

Das ist nicht richtig, das hat NICHTS mit dem Filesystemtyp zu tun.

Da das GN keine auswechselbare SD-Karte hat, ist das Verzeichnis wo normalerweise selbige gemountet wird, Teil des Root-Filesystems, keine eigene Partition.
Das für USB-Storage-Mode verwendete UMS-Protokoll kann nicht auf gleichzeitig vom Betriebssystem gemountete Teile des Filesystems zugreifen, unmounten für externen Zugriff geht aber natürlich nicht.

Der Vorteil: es kann nicht entweder auf der System- oder auf der Datenpartition der Speicher ausgehen (v.a. ersteres passiert gern, im Falle zu vieler Apps, die im “Telefonspeicher“ sein müssen).

Der Nachteil: kein “alter“ USB-Mode, MTP geht aber und wird zunehmend in allen Desktop-OS "out of the box" unterstützt.

Redaktion derStandard.at/Web
00
15.4.2012, 14:46

Das ist im Artikel tatsächlich etwas unglücklich formuliert, da hab ich wohl den einen oder anderen Gedankensprung gemacht ;) Gemeint war eigentlich das es Teil vom restlichen Dateisystem ist, deswegen ext4 und deswegen kein UMS. (Und natürlich würd UMS mit ext4-formatierter SD-Karte auch so keinen Sinn machen, also zumindest nicht, wenn man Windows unterstützen will). Ich hab die Anmerkung entsprechend entfernt (auch weil es darum im Artikel eigentlich wirklich nicht geht).

apo

Das Nexus S hat auch keinen Slot - usb mount funktioniert aber.

Und wenn's Teil des root wäre, würden man schwer ohne unroot Daten schreiben können. Auch echte SD hängen ja als /sdcard im System.

Lesen - es geht drum, ob /sdcard eine eigene Partition ist, wurscht ob die im eingebauten Speicher oder auf einer wechselbaren Karte im Slot liegt.

Im Nexus S ist ersteres der Fall, im Galaxy Nexus nicht - was ich persönlich als Vorteil empfinde, weil der gesamte Speicher sich auf System- und Userdaten aufteilt, ohne dass einer davon vorzeitig ausgeht, wie es mir am Nexus One immer passiert ist: nicht alle Apps lassen sich auf die SD auslagern und die Systemposition ist deutlich kleiner als die Karte, weswegen der interne Speicher permanent überfüllt war.

Jo... Richtig...

Dabei wird der fehlende Slot und MTP als die größten "No Go"'s des Galaxy Nexus gehandelt.

Es wäre wohl kein Problem, auch die Speichererweiterung mit ext3 oder ext4 zu formatieren: aber ich höre jetzt schon den Aufschrei: "WIESO KANN ICH DIE VERDAMMTE KARTE NICHT IN MEINEM WINDOWS RECHNER LESEN???!!!!"

Nachdem ich gesehen hab wie weit die MTP-Unterstützung schon verbreitet ist (aktuelle Linux- und Win-Varianten Out of the box, beim Netbook mit älterem Linux war genau ein Package zu installieren) empfinde ich es als Vorteil, dass das SD-Card-Verzeichnis keine eigene Partition ist - der Speicher teilt sich frei auf, egal wo ich gerade mehr davon brauch.

mit 15 Jahren . . . .

. . . . habe ich ein Gerät zusammengelötet, dass die mechanischen Impulse der Wählscheibe eines Telefons auch durch geschlossene Türen abhorchen konnte, wenn der Telefonapparat an der gleichen Wand stand. Die Schaltung hat dann die Impulse gezählt und in eine numerische Anzeige der telefonnummer übersetzt. Provider, Firmware Version, Geodaten und user-daten waren bekannt und damit konnte ich wissen wen mein Nachbar gerade angerufen hat, schon bevor er 'hallo Gerti, I bin's, da Ernstl..' in den Telefonhörer gebrüllt hat. . . .

Theoretisch richtig...

...aber: Der Nutzer bekommt mit, wenn sich der Browser öffnet, sodass das Versenden der Daten auffallen würde, zudem sieht man auch, welche Daten genau abgefragt wurden.
Ohne explizite Internetberechtigung sehe ich eher keine Gefahr.
Wobei es eigentlich auch schon egal ist, ob die Daten nun bei Apple, Google, Samsung,... oder eben bei den Programmierern landen, man sollte sich sowieso überlegen, welche Daten man wie behandelt.

Wenn eine App aufs Internet zugreift, öffnet sich kein Browser

das geht auch ohne. Und viele Apps funktionieren leider nur, wenn sie per Internet auf den Server des Anbieters zugreifen können. Sie bekommen zwar mit, das ein Up-/Download von Daten stattfindet. Aber was übertragen wird, das herauszufinden, damit dürften 99% der Benutzer überfordert sein.

Wenn die App NUR auf das Internet zugreift nicht...

...aber sollte ich mich jetzt nicht täuschen, öffnet der Intent-Befehl "URI_ACTION_VIEW" den Standard-Browser, was bedeuten würde, dass man in der URL die Parameter lesen kann.
Sollte man wirklich nur auf das Internet ohne Browser und eigenen Intent zugreifen, benötigt man aber wieder die Internet-Permision. Ich weiß zwar nicht, ob, wie, warum und wieso sie Apps so programmieren, aber bei mir war das jedenfalls immer so, und meines Wissens hat Google noch nichts drastisch daran geändert ;)

Wenn die App bei der Installation Zugriff auf die Netzwerkeinstellungen verlangt und der User ihr aus Unkenntnis die Berechtigung dazu gewährt, braucht man den auffälligeren Umweg über den Browser nicht zu nehmen.

...

Ja, aber in diesem Fall verhält es sich wie bei dem super Sicherheitssystem von Microsoft seit Windows Vista: Wenn ich die Meldungen einfach aus Unkenntnis wegklicke (die Tatsache, dass dies sowohl bei Android-Berechtigungen als auch bei Windows und all den anderen Systemen passiert will ich nicht ansprechen, da man dagegen nichts machen kann), können Programme auch tun was sie wollen.
Geht es aber um den Schutz, der zumindest in der Theorie gewährleistet ist, ist die Methode von Android dennoch gut und nicht ohne irgend eine Auffälligkeit zu knacken.

Genau, da haben Sie recht. Viele Nutzer klicken Sicherheitsmeldungen einfach weg, ohne Sie zu lesen. Egal, bei welchem System. Deshalb surft meine Frau seit 2 Jahren an einem Linux-Computer. Und das Root-Passwort hab ich ihr nicht verraten, die klickt nämlich auch alles weg, ohne es zu lesen.

Posting 1 bis 25 von 94
1 2 3

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.