Apples und Googles Sicherheitsmechanismen haben anscheinend versagt
von caschy | 21 Kommentare
Der Tom hat mich eben auf einen Eintrag im Security-Blog von Kaspersky aufmerksam gemacht, der gar nicht so unspannend zu lesen war. Glaubt man dem Beitrag, dann haben sowohl Apples, als auch Googles Sicherheitsmechanismen versagt. Während bei Apple anscheinend noch von Hand geprüft wird, ist Google ja weitestgehend automatisiert, seit einiger Zeit setzt man den Sicherheitsmechanismus Bouncer ein. Durch die Prüfung schaffte es die App Find & Call, die mittlerweile wieder aus den Stores verschwunden ist.
Sie lud nach einer Abfrage das komplette Adressbuch der Betroffenen auf einen Server. Dieser sorgte dann dafür, dass die Kontakte auch hübsch eine Spam-SMS bekamen, die noch einmal auf die tolle App hinwies. Was die Macher der App mit den ganzen Daten wollen, ist bislang unklar – aber mit Daten kann man ja bekanntlich viel machen: Spam versenden, verkaufen und so weiter. Mittlerweile wurde die App aus beiden Stores verbannt. Probleme dieser Art werden das Stigma unserer mobilen Zeit. Ich bin gespannt, was in Sachen Sicherheit noch so unternommen wird zumal es ja nicht nur böswilligen Apps bisher gelungen ist, an Daten zu kommen – natürlich immer nur als Resultat eines Fehlers.
Wird geladen ...
Sollten hier nicht eigentlich die Antiviren-Programme mit Heuristik auf dem Android-Phone anschlagen?
Warum sollten sie? Auch unter Windows schlagen die Heuristik-Scanner nur noch auf zusammengeklickte „Viren“ von Scriptkiddies an. Irgendwo hat jeder Heuristik-Code sein Limit, wenn er nicht nahezu jede App für böswillig halten soll.
Mac, iOS, Android und co haben das gleiche Sicherheitsproblem wie Windows … Mit dem Unterschied das Gefahren bei denen bisher ignoriert werden. Bei MS ist man sich derer zumindest bewusst ^^
Entschuldigt, aber sorry?! Nur weil ich ein Programm – und nichts anderes ist eine App – aus einem Store beziehe, darf ich munter drauf los laden? So blauäugig wären am Computer vermutlich die wenigsten. Also bitte: Mal ein bisschen die eigene Birne anstrengen und nicht jedem Müll auf dem Smartphone beliebige Berechtigungen in den Rachen werfen!
Wieso eigentlich gibt Android bei der Installation nur die Wahl, pauschal alle vom Entwickler gewünschten Rechte freizugeben? Auf dem Blackberry z.B. bekommt man bei jeder Installation noch einmal die angeforderten Rechte angezeigt und kann diese auch einzeln deaktivieren.
es ist ja leider „normal“ geworden, dass Apps auf das Adressbuch zugreifen wollen. Warum, lässt sich selten ermitteln.
@Steve Gates
Du liest hier aber schon mit, oder? 😉
Wie wäre es da z.B. mit einem Beitrag von gestern?!
http://stadt-bremerhaven.de/appguard-entzieht-apps-berechtigungen-aber/
😀
@Paddy0174
Nicht jeder möchte/kann sein Smartphone rooten.
Allgemeine Entwicklung!
Das Problem liegt nicht bei einer kleinen App sondern bei den großen Playern, Leute, diese sind nicht anders was das Thema betrifft, meist etwas geschickter, aber die Facebook-App z.B. hat schon mal genau das gleiche gemacht. Das andere Problem diesbezüglich sind User die viel zu viel mit sich machen lassen und sich ggf. so mit den Firmen identifizieren, dass sie sogar deren Positionen übernehmen.
@Paddy0174: Das Beschneiden der Rechte sollte, wie auch im von Dir verlinkten Blogbeitrag in den Kommentaren gefordert, direkt im Betriebssystem enthalten sein, und nicht in einer App, für die ich dann das Gerät rooten muss! Otto-Normal-User (also ich) fände das sicher besser bzw. könnte damit erst einmal umgehen. Und klar: Ich muss nicht alles installieren, was mir über den Weg läuft, aber ein wenig Kontrolle wäre schon gut.
JAAA und aus diesem Grund dank ich all den Pfeifen da draußen, das sie ihre „geilen“ Smartphones mit jeder Mist App zu pflastern.
Warum ich so stinkig bin??? Am Ende kann ich Datenschutz betreiben wie ich will, wenn dann über solche Apps bei Leuten die man kennt meine Daten wiederum in die Welt gelangen. Aber es ist ja heute soooo schick mit profanen Programmen sein Handy zu schmücken.
Sich mal die Frage stellen vorm Installieren… warum benötigt eine Spiele App Zugriff auf mein Adressbuch????
GRRRR!!!!!
Wer installiert eine App mit Russischer Beschreibung und ohne Bewertungen … die Gerin.exe sollte da doch noch so weit funktionieren.
@Joni
Das ist der russische Play Store!
Reboot brain.exe 😉
@Joni: Russen?
BTW, was ist eine Gerin.exe?!
Vermute mal, das sollte Gehirn.exe heissen…
Sorry, aber wer sich eine dubiose App mit russischer Beschreibung auf dem Smartphone installiert, ist doch selber Schuld das er sich irgendeinen Müll installiert. Das ist, als wenn man illegal Filme, Musik, Software saugen will und die sich von einem dubiosen Server aus Ex-Russland (und nicht nur dort) saugt und dann irgendwelche Malware, Viren gleich mit installiert. Dann aber wundern, warum der Rechner auf einmal abkackt oder sonstige Anstalten macht.
Liegt das nicht auch am Android-SDK? Ich nmeine mal gelesen zu haben, dass die Rechte standardmäßig an sind und vom Programmierer „deaktiviert“ werden müssen. Diese Info kann natürlich auch schon längst überholt bzw. unwahr sein.
So lange die App nach den Berechtigungen nach dem Adressbuch fragte, was bei dem Namen vermutlich der Fall war, hat zumindest bei Google ja nichts versagt. Ich vermute bei Apple war es ähnlich. Tausende Apps laden das Adressbuch hoch, was jedoch dann auf dem Server der Firmen mit den Daten gemacht wird kann weder Google noch Apple kontrollieren. Dies ist etwas was keiner kontrollieren kann und dessen Verantwortung allein beim Nutzer liegt der entscheiden muss ob er der App die Daten anvertraut. Daher aus meiner Sicht Panikmache um nichts – immerhin ist es keine Malware oder dergleichen.
@Leif – Leider nicht, Apple bessert hier erst mit iOS 6 nach. Vorher kann jede App problemlos das Adressbuch hochladen und der Großteil der Apps macht das leider auch, man kann das mit einem Tool auslesen – aber eben nicht unterbinden. Mit iOS 6 muss man es der App dann explizit erlauben (genau wie den Zugriff auf die Ortungsdienste und die Fotos). Bis iOS 6 dauerst es aber noch.
Hier ist Android zumindest derzeit noch besser, das sagt wenigstens dass eine App aufs Adressbuch zugreifen will. Und man kann die Installation der App dann noch ablehnen.
Ich weiß nicht, was die App macht. Aber wenn das als WhatsApp Klon getarnt war haben die Nutzer vllt absichtlich dem Adressbuch auslesen zugestimmt. Das wird man wohl mit keinem Tool und keiner Abfrage verhindern können.
Thanks for wonderful post,
Mehran muslimim.