Android Apps sind nicht nur neugierig, sondern werden in ihrer Schnüffelei auch noch von Google unterstützt. So gibt das Android-Mutterschiff gewisse identifizierende Informationen frei an beliebige Entwickler aus dem Google Play Store weiter, die ohne jede Hürde auf Datensammel-Tour gehen können. Und das obwohl mit Android M das Berechtigungssystem als Fortschritt angepriesen wurde.
Die detaillierten Berechtigungen sind übrigens eine Weiterentwicklung der App Ops, die es auch schon vorher gab. Allesdings strich Google aus nicht weiter genannten Gründen die fein abgestuften Kontrollfeatures ziemlich schnell wieder, siehe EFF.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Wenn eine App nach gewissen Berechtigungen fragt, werden Nutzer oftmals skeptisch und ein gewisser Anteil der Userbase lässt beispielsweise eine App nach einem Update mit neuen Berechtigungsanfragen erst mal liegen bzw. deinstalliert die suspekte App umgehend. Was aber, wenn Google gar nicht alle Privatsphäre-Faktoren auflistet? Im Blog des Antiviren-Anbieters Trustlook ist derzeit in einem Artikel zu lesen, was Google informationstechnisch "verschenkt" und jeder App zugänglich macht.
Apps bekommen freien Zugriff auf Rufnummer, Mailadresse und auf Umwegen auch die Position
Die eigene Rufnummer können sich seit 2014 unter Android übrigens alle Apps holen, ohne jegliche Benachrichtigung. Jetzt wisst ihr, woher diese Spam-SMS kommen.
Mit Android M erweitert sich dieser Umstand auch auf die Mailadresse, die in der aktuellen Previewversion des Betriebssystems während der App-Installation über "GET_ACCOUNTS" abgefragt werden kann. Siehe hierzu auch diesen Thread auf Hacker News.
Wenn eine Android-App nach dem "wifi_status" fragt und diesbezüglich um Erlaubnis bittet, sind dem User die Konsequenzen zwangsläuft nicht klar. Beim erbetenen Zugriff auf die SMS, Kontaktliste oder Ortungsdienste wird der Spieler eines kostenlosen Android-Spiels durchaus verstehen, dass die App gerne an seine mitunter sensiblen Daten möchte.
Proof of Concept App zeigt, was möglich ist
Security-Forscher an der TU Dänemark fanden heraus, dass Android eine Liste mit gescannten SSIDs, BSSIDs, Signalstärke für die drahtlosen Netze und die IP für den jeweiligen Access Point bzw. Router weitergibt, wenn der Entwickler Zugriff auf den WLAN-Status bekommt.
Diese Berechtigung räumen fast alle User ein, weil sie sich (missverständlich) z.B. wie der allgemeine Zugriff auf das Internet für die App liest. Wohlgemerkt kann eine App diese Daten auch auslesen, wenn der Nutzer sein WLAN und GPS vor dem Start deaktiviert. Das Andorid-Betriebssystem scannt auch bei deaktiviertem WLAN-Toggle alle 10 Sekunden nach Netzwerken und hält diese in einer Liste fest, wenn man dieses Verhalten nicht in einer in den erweiterten Einstellungen vergrabenen Option deaktiviert.
Die BSSID ist hier der Knackpunkt, diese fungiert wie eine Mac-Adresse (also überwiegend als fest eingestellt anzusehen) des Routers oder Access Points und ist somit eine recht einzigartige Identifikationsnummer. Es gibt umfassende Datenbanken mit den Orten, an denen Router stehen.
Ihr versteht vielleicht bereits, wohin das führt: Mit einer Liste der zuletzt "gescannten" BSSIDs eines Android Devices können wir auslesen, wo sich der Nutzer so herumtreibt. Ein Hotspot hier, ein privater Router mit Eintrag in einer der Datenbanken auf dem Weg zur Arbeit, ein Starbucks-Netz auf den letzten 100 Metern und so weiter.
Mit der WiFi Watchdog App der dänischen Sicherheitsforscher könnt ihr kostenlos selbst herumexperimentieren und eure letzten 48 Stunden der Fortbewegung rekonstruieren, ohne der App die Rechte für Eure Ortungsdienste unter Android einzuräumen:
Apple ist hiervon übrigens nicht ganz ausgenommen, die BSSID des aktuell verbundenen Netzwerks lässt sich ebenso von iOS Apps ohne Berechtigung abfragen. Somit ist die statische Ortung von Personen auch auf diesem Wege bedingt möglich.
Ihr könnt unter Einstellungen > WLAN > Auf Netze hinweisen das Verhalten von iOS ein wenig einschränken und damit evtl. die Privatsphäre erhöhen, weil dann nicht so schnell eine Verbindung zu fremden Netzen zustande kommt.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
