iOS und Android mit Lücken im Bereich Fotos
von caschy | 20 Kommentare
Tja, so ist das. Vor ein paar Tagen wurde Apples iOS als Sau durch das Internetdorf getrieben, nach dem Adress-Dilemma gibt es nun weitere Schwachstellen, die die Fotos betreffen. So können Apps auf die Fotos zugreifen und mit diesen nach erfolgtem Zugriff allerlei Schabernack treiben. Will eine iOS-App Zugriff auf GPS-Infos, dann verlangt sie in der Regel auch den Fotozugriff. Bestätigt dies der Benutzer, dann kommt der App-Entwickler nicht nur an die GPS-Daten, sondern auch an die Fotos. Diese könnte er dem Benutzer vom Handy zerren.
Aber auch Android ist davon betroffen, wie ein weiterer Test beweist. Android wurde so konzipiert, dass Programme wie auf dem Rechner Zugriff auf Fotos und Co haben. Im Falle von Android wiegt die Lücke schon fast etwas schwerer, da die betreffenden Apps nur Internetzugriff haben müssen.
Eine Test-App (ein Tea-Timer) verlangte im Test die Zugriffsrechte auf das Internet und schob bei Nutzung der App immer das letzte Foto des Smartphones auf einen öffentlichen Bilderdienst. Schon erschreckend, oder? Google bestätigte den Umstand und gab an, es sei eine Entscheidung aus den Android-Anfangszeiten, dass Daten extern gespeichert und dadurch schwerer zugänglich gewesen seien. Nun macht man sich im Hause Google Gedanken, ob und vor allem wie man dieses ändern könne.
Bin mal gespannt, wie sich das in der Zukunft weiter entwickelt. Apple hat normalerweise eine „härtere Tür“ und überprüft alle Apps vor dem Zulassen im Store auf versteckte Funktionen – aber auch Android hat mit dem Bouncer eine Sicherheitsfunktion am Start. Bleibt abzuwarten, wie sich die Datenschutzbestimmungen im Bereich Apps entwickeln.
Wird geladen ...
Ich bin seit einer Woche Smartphone mit Android-Besitzer und das erste, was ich vermisst habe, ist ein Rechtekonzept. Eine Einstellungsmöglichkeit, um Apps Rechten zu nehmen. Man sieht zwar immer, welche Rechte welche App benötigt, aber man hat nur die Wahl „Installation [j/n]“.
Die Möglichkeit, die Rechte in den APK-Dateien zu ändern, habe ich schon erlesen, ist mir jedoch zu umständlich, da ich zu 90% via Android Market kaufe.
Ich muss N-Rico Voll und Ganz zustimmen.
auch ich habe seit ein paar Tagen ein Android-Smartphone und bin ehrlichgesagt schockiert, dass einfachste Apps Zugriff z.B. auf meine Kontakte haben möchten.
Dies begrenzen zu können wäre mehr als Wünschenswert.
Auch stimme ich zu, dass es eine EINFACHE Möglichkeit sein muss, die nicht nur für uns EDV-Verständigen funktioniert, sondern eben auch für die Millionen sonstige Android-Benutzer. Denn meiner Meinung nach sind diese eindeutig die Mehrheit.
@N-Rico und Gray_,
Schau dir mal die kostenlose App „LBE Privacy Guard“ an. Mit dieser App, die auch gestartet werden kann, wenn das Handy eingeschaltet wird, kannst du einzelnen Apps die Zugriffe entweder komplett entziehen oder aber auch bestimmen, dass ein bestimmter Zugriff im Einzelfall entschieden wird. Du kannst aber auch gleich zu Anfang bestimmen, dass die betreffende App z. B. auf das WLan zugreifen darf.
LBE liest alle Zugriffe aller Apps aus, diese lassen sich dann, wie oben beschrieben, bestimmen. Übrigens, wenn du dir das Custom-ROM von Cyanogenmod aufspielst, kannst du ebenfalls Rechte verweigern, allerdings ist das nicht so übersichtlich gelöst wie bei LBE.
@Caschy
Vielleicht sollte mal über die App gebloggt werden?
Der Vollständigkeit halber sollte erwähnt werden, dass die Lücke bei iOS tatsächlich doch schwerer wiegt. Ich will die Lücke von Android nicht runterspielen, ich finde es schon arg bedenklich. Fakt ist aber, bei iOS hat der Entwickler Zugriff auf alle Fotos. Die komplette Galerie. Ohne Einschränkung. Bei Android hat der Entwickler immer nur Zugriff auf das jeweils letzte Foto.
Zumindest wurde die Lücke so an mehreren Stellen erklärt.
@N-Rico: Dass es keine einfache Lösung gibt die Rechte zu entziehen, liegt ganz einfach daran, dass dann niemand mehr die Stabilität einer App garantieren kann.
@Gray_: Das hat zwei Gründe:
1. Die App braucht wirklich diese Rechte. Manchmal aus einem Grund, auf den man nicht im ersten Moment kommt.
2. Die App ist schlecht programmiert und verlangt mehr Rechte als sie wirklich benötigt.
Ich warte ja auch schon seit Ewigkeiten darauf das Caschy mal was zu LBE Privacy Guard schreibt! LBE gehört meiner Meinung nach zur Grundausstattung von jedem Android Smartphone.
Das Problem mit dem Zugriff auf Fotos bekommt man damit aber auch nicht wirklich in den Griff, es sei denn man entzieht allen Apps die Zugriff auf WLAN/3G haben das Recht sich mit dem Internet zu verbinden!
@Wishu: Jede Android-App hat kompletten Lesezugriff auf die Speicherkarte, nur fürs Schreiben braucht’s ein Extra-Recht. Fotos liegen üblicherweise irgendwo unter \DCIM, ist also nicht so schwer, alle zu finden und zu übertragen. Genauso wie man unter Windows völlig problemlos den „Eigene Bilder“-Ordner herausfinden und den Inhalt übertragen könnte.
@Mainlevel
Lalalalallalalaa http://www.google.com/url?q=http://stadt-bremerhaven.de/sicherheit-fuer-den-androiden-lbe-privacy-guard/&sa=U&ei=i5BQT_bYHsSUOuC-6JgK&ved=0CAQQFjAA&client=internal-uds-cse&usg=AFQjCNGhHiVgEiEo2zJPdGAF4NAfTK0Xjw
Da jetzt hier mehrfach über „LBE Privacy Guard“ gesprochen wurde, werde ich mir diese App einmal anschauen. Vielen Dank für die Hinweise! Custom-ROM ist für mich keine Option.
@Caschy
WHUT??? … wie konnte ich das nicht mitbekommen?
Bitte hiermit vielmals um Entschuldigung!
Caschy your the GOAT!!!
hm, hier wieder nichts von Symbian gelesen – schade, dass dieses OS immer wieder vergesen wird… 😉
Aber vielleicht ist das System ja so „tot“, „uninteressant“ oder „will niemand mehr haben“ weil man damit nicht solche Sachen treiben kann…?
ok, realistisch betrachtet sieht ja wohl wirklich kaum noch jemand durch, was welche App auf welchem System mit welchen Rechten so anstellen darf/kann.
Von den Nutzern eines OS jedenfalls wohl die allerwenigsten, die meisten geben sich halt dem hin, was das System bietet – ohne zu hinterfragen.
Und selbst wenn nun ein funktionierendes Rechtesystem auf Android entsteht, bleib ich noch auf die Gunst meines Herstellers angewiesen, ob ich das Update jemals bekomme, oder sehe ich das jetzt falsch?
Danke für den Tipp mit dem „LBE Privacy Guard“ ich werde mir den auch mal anschauen und installieren.
Wobei ich wieder bei dem vorhin beschriebenen Problem bin, dass es halt nur was für „Cracks“ und nicht für Otto-Normal-User ist, denn (Zitat):
„LBE Privacy Guard requires a ROOTed phone, please make sure your phone has been unlocked and ROOTed.“
Danke Caschy für den Beitrag zu der App, den werde ich mir auch gerne näher anschauen!
Ich hatte ihn bloß bisher nicht gefunden, weil das Thema Android hier schon oft behandelt wurde (was sehr gut ist) aber die (nicht sortierte) Google-Suche hier im Blog einfach zu viel ausspuckt.
Wobei es mir persönlich auch oft auf den Senkel geht wenn gute Apps nach einem Update oft schlecht bewertet werden weil eine neue Funktion ein neues Recht braucht.
Beispiel Dropbox: Das benötigt mit dem letzten Update Zugang zu den Konten. Eben weil es nun selber eines anlegt. Ergebnis: Die ersten 30 Bewertungen die ich zu dem Update gelesen habe hatten nichts mit dem Update oder den neuen Funktionen zu tun sondern waren 1-Stern Bewertungen mit Androhung nie wieder Dropbox zu nutzen wegen des Kontorechtes.
Da muss ich mich auch mal entschuldigen! Ich lese den Blog von Caschy täglich, das gehört dazu wie der morgendliche Tee und die Nachrichten. Und ich habe den Beitrag über LBE übersehen? Wahnsinn!
@Mainlevel
Die Apps, die kein Internet brauchen, denen kannst du getrost das Recht entziehen, sich mit dem Internet zu verbinden. So handhabe ich das. Wozu braucht die hier genannte App „Teatimer“ Zugriff auf das Internet? Um die Uhrzeit abzugleichen? Wohl kaum. Man kann in der App auch einstellen, dass „prompt“ ein Recht zugewiesen werden kann. Da sieht man mal, welche App so ständig versuchen, auf das Internet oder die Position zuzugreifen 😉
Gut, es ist dann nervig, immer auf „denied“ zu klicken, aber das erscheint mir als am sichersten.
Ach und BTW: Gilt diese „Sicherheitslücke“ nicht für jedes Windowssystem? Ich finde es ganz normal das ich mit meinen Apps auch auf das Dateisystem zugreifen kann. Und dazu gehört auch das ich mit meinen Apps selbstverständlich auch in den DCIM Ordner komme. Und wenn da Apps wie dieser Tea Timer murksen dann gehören die Apps halt aus dem Market entfernt. Aber ich möchte doch bitte die Möglichkeit haben das selber entscheide.
Gerade das war eine der Dinge die mich an iOS tierisch genervt haben. Wegen jedem Mist muss man an iTunes und die Dateien an die App schicken. Eine Datei in App A bearbeiten und danach in App B verwenden? Nada! Höchstens noch bei Bildern aber alles andere ist streng appgebunden.
Manchmal bin ich ganz froh noch kein Smartphone zu haben, wenn ich höre das man wieder eine App braucht um anderen Apps Rechte zu entziehen.
Das Apple alle Apps überprüft ist aber auch schon lange nicht mehr der Fall was bei der Anzahl an Apps bei Android und iOS aber auch kaum verwunderlich ist.
Wenn Apple alle überprüfen würde gäbe es nicht immer wieder Apps die kurz nach einem Start bereits abstürzen oder die ganzen Copyright und ToS Verletzungen im Store.
http://mashable.com/2012/03/01/app-store-security-risks/