Erst lesen, dann klicken: Gefahrenpotenzial bei App Berechtigungen

Wer darf was – das ist im App-Universum gar keine einfache Frage. Ob iOS, Blackberry oder Android, Apps benötigen bei allen Betriebssystemen Rechte für den Zugriff auf bestimmte Funktionen wie die Netzkommunikation oder auf Kamera und Mikrofon. Doch während Blackberry und Apple die Rechte vor der Freigabe für den Shop prüfen, überlässt Google dem Anwender diese Aufgabe selbst. Wer ein Android-Tablet oder -Smartphone nutzt, kennt die Liste der angeforderten App Berechtigungen vor der Installation. Es gibt keine Wahl: Entweder stimmen die User allen Wünschen der App zu oder sie müssen auf das Programm verzichten – Teilzugeständnisse gibt es nicht.

Sicher gehen viele Entwickler verantwortungsbewusst mit dieser Situation um und verlangen nur Rechte, die die Anwendung zur Funktion braucht. Aber die Versuchung, noch ein paar Infos mehr abzufragen als unbedingt nötig, ist groß: Daraus können entweder Details über die Benutzergewohnheiten gewonnen, oder die Daten gleich als Zubrot weiterverkauft werden. Gerade Gratis-Apps sind in dieser Hinsicht berüchtigt. Vor einer Weile ging das Beispiel der Taschenlampen App „Brightest Flashlight“ durch die Medien. Sie benötigte für ihre Funktion zwar keine Rechte, ließ sich aber praktisch Vollzugriff auf das Handy genehmigen – der Hersteller verkaufte alle gewonnen Daten weiter.

Brightes Flashlight

 

 

 

 

 

 

 

 

Die App ist nach wie vor im Play Store gelistet, verlangt immer noch Zugriff auf alles und hat inzwischen mehr als 50 Millionen Downloads.

Was eine App wissen und beeinflussen will, teilt sie (mehr oder weniger) vor der Installation mit. Entweder beim tatsächlichen Herunterladen oder recht weit unten auf der Play Store Seite: „Berechtigungen“ à „Details ansehen“. Die Berechtigungen mit der Sicherheitsstufe „gefährlich“ werden vollständig angezeigt, als weniger kritisch erachtete Zugriffswünsche hingegen nicht. Um sie zu sehen, müssen die User auf den Reiter „Alle anzeigen“ klicken. Das kann problematisch sein, vor allem bei Updates von bereits installierten Apps. Denn nach einer Änderung im Rechtesystem des Play Stores (Version 4.8) hat Google die sogenannten “vereinfachten Berechtigungen” eingeführt. Berechtigungen sind nun in die folgenden 13 Gruppen eingeteilt:

  • In-App-Käufe
  • Geräte- und App-Verlauf
  • Einstellungen für Mobilfunkdaten
  • Identität
  • Kontakte/Kalender
  • Standort
  • SMS
  • Telefon
  • Fotos/Medien/Dateien
  • Kamera/Mikrofon
  • WLAN-Verbindungsinformationen
  • Geräte-ID & Anrufinformationen
  • Sonstiges

Haben Anwender einer Berechtigung bei der Installation zugestimmt und ändert sich nun eine weitere Berechtigung in derselben Gruppe, erfährt man nichts mehr davon. Die neu angeforderte Berechtigung wird stillschweigend erteilt. Die Gruppen sind zum Teil ziemlich unübersichtlich und das hat durchaus überraschende Auswirkungen. Zur Gruppe „Telefon“ gehören beispielsweise folgende Funktionen: Telefonnummern (auch gebührenpflichtige) direkt anrufen, Anrufliste lesen und bearbeiten, ausgehende Anrufe umleiten und Telefonstatus ändern.

Wer genau wissen möchte, welche App was darf, kann unter „Einstellungen“à „Apps“ à „Name-der-App“ à „Berechtigungen“ nachsehen. Etwas einfacher geht das beispielsweise mit dem kostenlosen Permission Viewer.

Permission Viewer Kindle Permission Viewer

 

 

 

 

 

 

 

 

Er listet alle Anwendungen auf (auch systeminterne) und zeigt durch farbige Balken das Ausmaß des Zugriffs der Apps an. Das Wissen um mögliche Schwachstellen führt aber noch nicht zu mehr Sicherheit. Dafür müssen weitere Apps ran, zum Beispiel App Guard von Backes SRT. Das Sicherheitsunternehmen, ein Ableger der Universität Saarbrücken, bietet seine Sicherheits- und Datenschutz-App für Android Smartphones und Tablets ab Android Version 2.3 an für € 3,99 an. Eine kostenlose Testversion überwacht bis zu vier Apps. Mit App Guard lassen sich andere Anwendungen überwachen und deren Berechtigungen nachträglich ändern. Überflüssige können entfernt werden, ohne dass Root-Zugriff notwendig wäre.

SRT AppScanner

 

 

 

 

 

 

 

 

Umsonst ist hingegen App Ops Starter, es funktioniert aber nur mit Android 4.3 bis maximal Android 4.4.1. Die App startet den in Android integrierten aber versteckten Modus “App-Vorgänge”. Auch darüber ist es möglich ohne Root-Zugriff Apps einzelne Berechtigungen zu entziehen. Mit Root existieren weitere Möglichkeiten zum Überwachen und Ändern der Zugriffsmöglichkeiten, beispielsweise XPrivacy.

Eines muss aber jedem klar sein: Wer mit Berechtigungen experimentiert, kann eine App auch unbrauchbar konfigurieren. Und besonders von systemnahen Diensten sollten nicht versierte Anwender die Finger lassen, sonst wird schnell das komplette Android Betriebssystem instabil.

 

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.