GoogleWatchBlog

Panoptispy: Android-Apps können Screenshots und Videos ohne Berechtigungen anfertigen & verschicken

» Web-Version «

Android-Apps können sich sehr umfangreiche Berechtigungen vom Nutzer gewähren lassen, um auf viele Daten und Funktionen des Smartphones zuzugreifen. Doch es gibt auch viele Funktionen, für die eine App aus gutem Grund keine Berechtigungen benötigt, aber dennoch zu Datenschutzproblemen führen können. Jetzt ist wieder ein Fall geworden, bei dem eine App sensible Daten des Nutzers abfilmt, ohne dass dieser es autorisieren müsste.


Die Berechtigungen unter Android sind recht umfangreich und geben dem Nutzer ein starkes Werkzeug in die Hand, um sicherzustellen, dass Apps kein Schindluder mit den Daten und dem Gerät treiben können. Die Klassiker, bei denen die meisten Nutzer hellhörig werden, ist etwa der Zugriff auf Mikrofon und Kamera aber auch der Zugriff auf die persönlichen Dateien oder die Telefon-Funktion. Aber auch ohne jede Berechtigung können Apps einige fragwürdige Dinge tun.

Sicherheitsforscher haben nun über 17.000 Apps im Play Store und einigen anderen App Stores entdeckt, die Funktionen enthielten, um Screenshots und Videos von der eigenen Oberfläche anzufertigen und diese dann an den Entwickler oder Drittfirmen zu versenden. Das Problem dabei ist, dass diese ganz ohne jede Berechtigung möglich ist, da jede Android-App Screenshots von der eigenen Oberfläche anfertigen kann – sie weiß ja theoretisch ohnehin, was dort passiert.

Der Code wurde zwar in sehr vielen Apps entdeckt, aber eine tatsächliche Aufzeichnung sowie der Versand konnte nur bei einer einzigen App nachgewiesen werden – GoPuff, ein US-amerikanischer Lieferdienst. Alle anderen Apps nutzen die Funktion entweder nur sporadisch oder die Funktionen stammen aus der Entwicklungszeit der Apps und sind vom Entwickler in der finalen Version nicht entfernt worden. Dennoch kann man nicht ausschließen, dass diese in bestimmten Situationen aktiviert werden.

Problematisch ist das, weil der Nutzer möglicherweise Daten eingibt oder abruft, die nicht für Dritte bestimmt sind. Das wäre zwar App-intern wohl einfacher abzufragen, aber ein eingebundenes Browserfenster bspw. könnte so einiges verraten, das ohne weiteres normalerweise nicht von der App abgerufen werden kann.

» Der Bericht bei den Sicherheitsforschern

[heise]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren