PrivacyCon 2019: Nutzlose Schutzmechanismen bei Android

Programmierer beißen sich durch die Sicherheitssperren bei Android.
Bild: dpa Es ist ein Katz-und-Maus-Spiel. Jedes Mal, wenn Google versucht, die persön­lichen Daten der Android-Nutzer besser zu schützen, versu­chen findige App-Program­mierer im Gegenzug, diese Schutz­mecha­nismen wieder auszu­hebeln. Unter dem grif­figen Namen „50 Ways to Leak Your Data“ haben Sicher­heits­forscher im Rahmen der PrivacyCon 2019 ein Papier vorge­stellt, indem sie popu­läre Tricks der App-Program­mierer analy­sieren. Programmierer beißen sich durch die Sicherheitssperren bei Android.
Bild: dpa Für die Erstel­lung der Studie haben sich die Wissen­schaftler des Inter­national Computer Science Insti­tute (ICSI) mehr als 88 000 der popu­lärsten Android-Apps ange­schaut. Und das Ergebnis kann nicht zufrie­denstellen. Immerhin mehr als 1000 dieser Apps tricksen die Google-Schutz­mecha­nismen aus. Und das sind längst nicht alles dubiose No-Name-Apps.

Nutzer soll eindeutig iden­tifi­ziert werden

Hinter dem Bestreben, die Google-Schutz­mecha­nismen auszu­hebeln, steht meist der Wunsch, die Nutzer der App eindeutig zu iden­tifi­zieren. Das kann beispiels­weise über die MAC-Adresse des Gerätes geschehen. Diese im Normal­fall unver­änder­liche Adresse iden­tifi­ziert das Gerät gegen­über dem Netz­werk und ist eigent­lich auch beson­ders abge­sichert gegen das unbe­fugte Auslesen. Doch manche Apps nutzen hier unge­schützte Unix System Calls, um auf die Daten Zugriff zu erhalten. Als Beispiels nannten die Forscher die Game Engine "Unity", die dann diese Daten auf einen Server über­trägt. Auch die MAC-Adresse des genutzten WLAN-Servers können Apps laut der Forscher­gruppe ausspio­nieren.

Samsung-Apps eben­falls betroffen

Beson­ders begehrt ist die IMEI des Gerätes, sozu­sagen die Fahr­gestell­nummer des Smart­phones. Sie wird bisweilen von Apps als Ersatz für die Werbe-ID von Google genutzt. Der Zugriff ist durch eine Berech­tigung geschützt, doch wie die Forscher heraus­gefunden haben, können bisweilen Apps, die mit demselben SDK erstellt wurden, trotzdem darauf zugreifen. Die App mit der Berech­tigung kann die IMEI nämlich verschlüs­selt im Spei­cher ablegen, die nicht berech­tigte App hat den Schlüssel und kann sie dort auslesen. Das funk­tioniert beispiels­weise mit den sehr popu­lären Entwick­lungs­tools von Baidu oder Salmo­nads. Die Baidu-Hintertür wurde beispiels­weise in der App für den Disney-Park in Hong­kong, aber auch in Samsungs "Health" und Browser-App gefunden, beide mit mehr als 500 Mio. Instal­lationen.

Stand­ortdaten durch die Hintertür

Wird den Apps die Standort-Kennung verwehrt, dann greifen sie häufig auf einen anderen Trick zurück. Sie lesen einfach die EXIF-Dateien der von der Kamera geschos­senen Bilder aus, die die GPS-Daten des Aufnah­meortes beinhalten. Eine Methode übri­gens, die auch bei iOS funk­tioniert. Die entspre­chende Berech­tigung ist verhält­nismäßig einfach zu bekommen. Der Zugriff auf Multi­media-Dateien wird sehr oft ange­fordert und entspre­chend frei­zügig gewährt. Als Beispiel für eine solche App erwähnen die Forscher „shut­terfly“.

Die gute Nach­richt: Die Sicher­heits­lücken sind natür­lich auch Google bekannt und mit Android 10 werden die meisten geschlossen werden. Doch das dauert, und nicht alle Geräte werden in den Genuss der Patches kommen. Und natür­lich werden die App-Program­mierer das Katz-und-Maus-Spiel dann von neuem starten.

Android 10 legt großen Wert auf mehr Sicher­heit. Was das neue Betriebs­system außerdem bringen wird, haben wir in einem Vorab-Bericht zusam­menge­fasst.