Categories: MobileSicherheit

Trend Micro: Googles neues Verfahren macht App-Genehmigungen sinnlos

Trend Micro kritisiert in einem Blogbeitrag Google für die jüngsten Änderungen an Google Play und dem Android-Berechtigungsmodell. Google stelle mit beiden Änderungen offenkundig den Bedienkomfort über den Schutz der Anwender, argumentiert Sicherheitsforscher Veo Zhang: „Cybergangster und -spione haben dadurch leichtes Spiel und können die Berechtigungen einfordern, die sie für ihre dunklen Zwecke benötigen, ohne dass die Anwender etwas davon mitbekommen müssen.“

Bei der Installation von Apps werden die angeforderten Berechtigungen einzeln angezeigt. Der Nutzer kann sie akzeptieren oder ablehnen. Dies galt bisher auch bei jedem Update, wenn es zusätzliche Rechte anforderte. „Damit ist seit den jüngsten Änderungen am Android-Berechtigungsmodell bei App-Updates Schluss. Der Schutz der Anwender wird wieder ein Stück weit einem Mehr an Bedienkomfort geopfert“, kritisiert Trend-Micro-Sprecher Udo Schneider. „Neue Rechte werden jetzt bei Updates automatisch genehmigt, wenn sie einer Gruppe von Berechtigungen angehören, der die Anwender bereits zugestimmt haben.“

Schneider zufolge ist es einfach, eine App zu bauen, die mit unverdächtigen Berechtigungen anfängt und sich mit späteren Updates Rechte genehmigt, die für bösartiges Verhalten notwendig sind. Das liegt auch daran, dass die Berechtigungen nach Gruppen geordnet sind. Beispielweise sind Berechtigungen, die mit ortsbezogenen Services zu tun haben, in einer Gruppe zusammengefasst, solche, die auf den Bildschirmhintergrund oder den Speicher Einfluss nehmen, in jeweils einer anderen. Insgesamt gibt es 31 dieser Gruppen.

Als ein Beispiel für eine Berechtigungserweiterung mit missbräuchlicher Nutzung als Ziel nennt Trend Micro die in einer Gruppe angesiedelten Berechtigungen für das Blitzlicht und Audio-Video-Mitschnitte: „Eine Taschenlampen-App kann so ganz einfach aktualisiert werden, um Mitschnitte und Stalking-Aktivitäten durchzuführen, ohne dass der Nutzer die Änderungen bemerkt.“

Weitere Berechtigungen, die zu einer Gruppe gehören, sind das Lesen von Inhalten von externen Speichern, das Ändern oder Löschen des Inhalts von externen Speichern, das Formatieren sowie Mounten und Unmounten von externem Speicher. So könnte zum Beispiel eine App, die das unverdächtige Recht hat, Inhalte eines externen Speichers zu lesen, nach einem Update dessen Inhalte auch ändern oder löschen.

Trend Micro kritisiert zudem, dass Rechte zum Lesen und Schreiben generell zusammengepackt sind. Eine App, die über ein Leserecht verfügt, kann den Inhalt also auch ändern: „Das widerspricht normalem Verhalten und dem Sinn von Berechtigungen.“

Ist Auto-Update aktiviert, kann sich im neuen Berechtigungsmodell eine App sogar im Hintergrund aktualisieren, ohne dass der Nutzer die Änderungen an den Berechtigungen mitbekommt. „Vielleicht hat Google ja in dem Punkt Recht, dass Anwender das Prüfen von Berechtigungen bei jeder Installation als lästig empfinden. Doch der Verzicht darauf macht das Verfahren durch die Sicherheitsbrille betrachtet im Grunde sinnlos“, sagt Schneider. Seiner Ansicht nach haben die Anwender nach den jüngsten Änderungen gar keine andere Wahl, als auf automatische Updates zu verzichten. „Außerdem sollten sie, wird das Vorhandensein eines Updates angezeigt, erst prüfen, ob und welche neuen Berechtigungen damit eingefordert werden, bevor sie auf ‚Herunterladen und Installieren‘ klicken.“

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

21 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

2 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

2 Tagen ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

2 Tagen ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago