Categories: MobileSicherheit

Trend Micro: Googles neues Verfahren macht App-Genehmigungen sinnlos

Trend Micro kritisiert in einem Blogbeitrag Google für die jüngsten Änderungen an Google Play und dem Android-Berechtigungsmodell. Google stelle mit beiden Änderungen offenkundig den Bedienkomfort über den Schutz der Anwender, argumentiert Sicherheitsforscher Veo Zhang: „Cybergangster und -spione haben dadurch leichtes Spiel und können die Berechtigungen einfordern, die sie für ihre dunklen Zwecke benötigen, ohne dass die Anwender etwas davon mitbekommen müssen.“

Bei der Installation von Apps werden die angeforderten Berechtigungen einzeln angezeigt. Der Nutzer kann sie akzeptieren oder ablehnen. Dies galt bisher auch bei jedem Update, wenn es zusätzliche Rechte anforderte. „Damit ist seit den jüngsten Änderungen am Android-Berechtigungsmodell bei App-Updates Schluss. Der Schutz der Anwender wird wieder ein Stück weit einem Mehr an Bedienkomfort geopfert“, kritisiert Trend-Micro-Sprecher Udo Schneider. „Neue Rechte werden jetzt bei Updates automatisch genehmigt, wenn sie einer Gruppe von Berechtigungen angehören, der die Anwender bereits zugestimmt haben.“

Schneider zufolge ist es einfach, eine App zu bauen, die mit unverdächtigen Berechtigungen anfängt und sich mit späteren Updates Rechte genehmigt, die für bösartiges Verhalten notwendig sind. Das liegt auch daran, dass die Berechtigungen nach Gruppen geordnet sind. Beispielweise sind Berechtigungen, die mit ortsbezogenen Services zu tun haben, in einer Gruppe zusammengefasst, solche, die auf den Bildschirmhintergrund oder den Speicher Einfluss nehmen, in jeweils einer anderen. Insgesamt gibt es 31 dieser Gruppen.

Als ein Beispiel für eine Berechtigungserweiterung mit missbräuchlicher Nutzung als Ziel nennt Trend Micro die in einer Gruppe angesiedelten Berechtigungen für das Blitzlicht und Audio-Video-Mitschnitte: „Eine Taschenlampen-App kann so ganz einfach aktualisiert werden, um Mitschnitte und Stalking-Aktivitäten durchzuführen, ohne dass der Nutzer die Änderungen bemerkt.“

Weitere Berechtigungen, die zu einer Gruppe gehören, sind das Lesen von Inhalten von externen Speichern, das Ändern oder Löschen des Inhalts von externen Speichern, das Formatieren sowie Mounten und Unmounten von externem Speicher. So könnte zum Beispiel eine App, die das unverdächtige Recht hat, Inhalte eines externen Speichers zu lesen, nach einem Update dessen Inhalte auch ändern oder löschen.

Trend Micro kritisiert zudem, dass Rechte zum Lesen und Schreiben generell zusammengepackt sind. Eine App, die über ein Leserecht verfügt, kann den Inhalt also auch ändern: „Das widerspricht normalem Verhalten und dem Sinn von Berechtigungen.“

Ist Auto-Update aktiviert, kann sich im neuen Berechtigungsmodell eine App sogar im Hintergrund aktualisieren, ohne dass der Nutzer die Änderungen an den Berechtigungen mitbekommt. „Vielleicht hat Google ja in dem Punkt Recht, dass Anwender das Prüfen von Berechtigungen bei jeder Installation als lästig empfinden. Doch der Verzicht darauf macht das Verfahren durch die Sicherheitsbrille betrachtet im Grunde sinnlos“, sagt Schneider. Seiner Ansicht nach haben die Anwender nach den jüngsten Änderungen gar keine andere Wahl, als auf automatische Updates zu verzichten. „Außerdem sollten sie, wird das Vorhandensein eines Updates angezeigt, erst prüfen, ob und welche neuen Berechtigungen damit eingefordert werden, bevor sie auf ‚Herunterladen und Installieren‘ klicken.“

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

13 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

14 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

21 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago