Image credit:

Android-Gefahr:Wenn sich Apps gegen ihre Nutzer zusammentun

"Collusive Data Leak and More: Large-scale Threat Analysis of Inter-app Communications"
Share
Tweet
Share
Save

Können sich zwei Android-Apps zusammentun, um gemeinsam ihren Nutzer auszuspionieren? Die erste groß angelegte Studie zu diesem bislang eher theoretischen Problem kommt zu einem beunruhigenden Schluss. Vier Forscher und Forscherinnen der Southern Illinois University luden 100.206 Android-Apps herunter und analysierten ihr Zusammenspiel. Bei fast 23.500 Paar-Konstellationen, bei denen Daten abhanden kommen können. 16.700 dieser Pärchen führten sogar zu einer sogenannten privilege escalation durch die eine zweite App Zugriff auf Informationen bekam, die sie eigentlich nicht erhalten sollte.

Schuld daran ist eine Funktion des Android-Betriebssystems: Die Inter-Component Communication (ICC) soll bei Android den Austausch von Daten zwischen Apps erleichtern.

Wie die Funktion in der Praxis zur Gefahr wird, erklären die ForscherInnen an einem Beispiel: Die App com.koranto.mkmn zeigt Gebetszeiten für Muslime auf der ganzen Welt an. Dazu fragt die App per Berechtigung den Aufenthaltsort des Nutzers ab - und bietet ihn anderen Apps zur weiteren Verwendung an. Insgesamt 1.540 Apps in der untersuchten Menge konnten dieses Datenangebot annehmen, 32 davon stellten eine echte Leak-Gefahr dar.

So könnte zum Beispiel die Akupunktur-App br.com.coderev.acumapa (sie zeigt eine Akupunktur-Karte an, je nachdem, wohin man die Handy-Kamera hält) diese Location-Daten empfangen und in eine Datei schreiben. Diese Datei könnte wiederum ausgelesen oder weitergeleitet werden.

Die gute Nachricht: Nur wenige Apps in der untersuchten Menge waren für die Vielzahl von Treffern verantwortlich. Insgesamt 1.785.102 ICCs wurden von nur 62 Daten-sendenden Apps verursacht.

Aber ist das Absicht oder Unvermögen der EntwicklerInnen der jeweiligen Apps? Das wollen die Studien-AutorInnen nicht beantworten. Nur so viel: Wer nicht aus Versehen über diesen Weg Daten seiner NutzerInnen leaken will, sollte vermeiden, heikle Daten über bestimmte Funktionen zu streuen:

ICC sender apps should avoid transferring sensitive data through Activity or Service based implicit intents. Permission checking is needed for Broadcast intent with sensitive information. Whenever possible, explicit intents are preferred for communicating sensitive data between apps. For receiver apps, enforcing strict restrictions for each entry point (e.g., add pathPattern in intentFilter) reduces unintended and unexpected ICCs.


From around the web

ear iconeye icontext filevr