Schlagwort: Android

Datenschutz auf Android-Smartphones durch gratis App „APEFS“

15. Januar 2013

Es ist keine Neuigkeit, dass diverse Apps umfangreiche Berechtigungen enthalten, auf persönliche Informationen wie z.B. SMS, Kontakte oder Anrufe zuzugreifen, obwohl dies nicht notwendig für deren Funktionalität ist. Die von der Universität Siegen entwickelte kostenlose Android App „APEFS“ (Android Permission Filter System) bringt Licht in den Dschungel der Berechtigungslisten von Apps, um Nutzern so die Entscheidung zu erleichtern, ob Sie diese App mit dieser Berechtigungsliste tatsächlich installieren wollen. APEFS kann dabei sowohl den Google Play Store sowie bereits heruntergeladene Apps nach bestimmten Berechtigungen filtern.

Wie ein Blog berichtet, soll APEFS zum Beispiel verhindern, dass Apps unbemerkt Daten ausspähen und dann im Hintergrund zum Beispiel kostenpflichtige Dienste anrufen oder teure, sogenannte Premium-SMS versenden. Zudem soll eine Vorfilterung beim Google Play Store möglich sein, indem der Benutzer Filterkriterien wie möglicher Internetzugriff, Anrufe, SMS, E-Mails etc. eingibt, die seinen Sicherheitsvorstellungen entsprechen, APEFS anschließend in den Suchen und Charts nach verdächtigen Mustern sucht und so ein kontrolliertes Installieren der Apps ermöglicht. Die von Norton online angebotene App Permissions Comparison Widget soll  ähnlich wie APEFS arbeiten.

Android: Diverse Apps verschlüsseln Kommunikation fehlerhaft

30. Oktober 2012

Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper  „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.

Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.

Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.

Kategorien: Hackerangriffe · Mobile Business
Schlagwörter: , ,

Android-Smartphones und -Tablets mit erheblichen Sicherheitsleck

8. Oktober 2012

Smartphones haben durch die enorme technische Entwicklung längst den Status als mobiler Alleskönner erreicht und stellen für viele Nutzer längst den wesentlichen Knotenpunkt der Onlinekommunikation dar. Fluch und Segen der Entwicklung bleibt die allgegenwärtige Verfügbarkeit der auf und in der Peripherie der Smartphones gespeicherten Daten. Ist das Gerät einmal verloren, gilt dies auch für viele darauf gespeicherte Daten. Problematisch wird dies vor allem, wenn es sich um sensible Daten handelt. Auch Samsung versuchte dieser Gefahr Herr zu werden, indem eine Fernlöschung der Daten ermöglicht wurde, die einen unbefugten Zugriff auf Daten nach Verlust verhindern soll.

Wie der Sicherheitsexperte Ravi Borgaonkar auf der Hackerkonferenz Ekoparty demonstrierte, ist es allerdings auch möglich Android-Smartphones von Samsung, bei denen der Hersteller die Android-Version mit eigener Software angepasst hat, aus der Ferne auf Werkseinstellungen zurückzusetzen. Dazu nutzte er eine Schwachstelle im Samsung-eigenen Wählprogramm, durch die einzelne Smartphone-Varianten ohne Rückfrage sogenannte USSD-Codes (Unstructured Supplementary Service Data) ausführen, die über speziell präparierte Links übergeben werden. Sendet man an ein solches Grät den Code *767*3855# wird das Handy in die Werkseinstellung zurück versetzt.

Als Einfallstelle solcher Links dienen etwa präparierte Websites, NFC-Tags oder WAP-Push-Nachrichten über SMS-Gateways. Heise-Online konnte die Sicherheitslücke zunächst in einem Test ebenfalls mit einem Samsung Galaxy S 2 mit Android 2.3.6. reproduzieren und stellte in der Folge fest, dass potentiell die meisten Smartphones und UMTS-Tablets betroffen sind, auf denen die Android Version Ice Cream Sandwich (4.0.x.) oder älter installiert ist. Als Lösung rät Heise zu einem Update auf Android 4.1.1 oder zur Installation eines Apps wie TelStop, NoTelURL oder USSD-Filter.

Kategorien: Mobile Business
Schlagwörter: ,

App-Berechtigungen unter Android kontrollieren

9. Juli 2012

Die vergangene Woche vorgestellte App „SRT AppGuard“ ermöglicht Android-Nutzern, die Berechtigungen der installierten Apps zu kontrollieren. Das Programm stammt von der Firma Backes SRT, einem Universitäts-Spin-Off initiiert von Prof. Dr. Michael Backes. Die App ist kostenlos herunterladbar, jedoch in Googles Play-Store derzeit nicht verfügbar. Die Anbieter haben die App auf ihrer Webseite  zum Download bereitgestellt.

Android ist von Hause aus nur darauf ausgelegt, den Nutzer über die Berechtigungen von Apps zu informieren – eine Chance, einzelne teils sehr weitgehende Berechtigungen bei der Installation abzulehnen, besteht nicht. Lässt sich beispielsweise eine Wecker-App die Berechtigung zum Lesen der Kontaktdaten sowie vollständigen Internetzugriff einräumen, müsste man entweder auf die gesamte App verzichten oder hinnehmen, dass das Adressbuch den Weg ins Internet finden könnte. Eine Möglichkeit zur Kontrolle besteht nur auf solchen Smartphones, bei denen unter Verlust der Herstellergarantie der Root-Zugriff freigeschaltet wurde.

Die App „SRT AppGuard“ kommt jedoch ganz ohne Root-Zugriff aus: Sie errichtet keine Blockade oder Firewall auf Systemebene, sondern entzieht jeder App einzeln ihre Berechtigungen. In drei Schritten wird die App zunächst deinstalliert, dann modifiziert und schließlich wieder installiert. Anschließend hat man über „SRT AppGuard“ die Wahl, Berechtigungen bestehen zu lassen oder gezielt zu deaktivieren. Auch der Internetzugriff lässt sich so vollständig abschalten oder auf einzelne erlaubte Adressen beschränken.

„SRT AppGuard“ vermag auf diesem Weg beim Schutz der eigenen persönlichen Daten wie auch der unternehmensbezogenen Daten auf privaten Geräten im dienstlichen Einsatz  – Stichwort BYOD („Bring Your Own Device“) – zu helfen.

Carrier IQ – Lässt das Smartphone Provider und Hersteller mithorchen?

7. Dezember 2011

Carrier IQ wird zur Zeit in den Medien heiß diskutiert, was sicherlich auch der Behauptung des Unternehmens geschuldet ist, dass Carrier IQ auf über 140 Millionen Geräten laufe.

Was aber hat es mit Carrier IQ auf sich?

Alles nahm seinen Anfang damit, dass der IT-Experte Trevor Eckhart eine Beschreibung der Analyse Software der Firma Carrier IQ veröffentlichte in der er die Software als Rootkit bezeichnete. Daraufhin war man  bei Carrier IQ wenig amüsiert, mahnte Eckhart ab und forderte ihn zur Unterlassung auf. Dieser erhielt daraufhin Unterstützung von der US-Bürgerrechtsbewegung EFF (Electronic Frontier Foundation). Kurze Zeit später entschuldigte sich Carrier IQ(Link entfernt) bei Eckhart für das übereilte Säbelgerassel und zog die Androhung juristischer Maßnahmen zurück.

Im Kern der Anschuldigungen steht der Vorwurf, dass Carrier IQ die Möglichkeiten hat, Tastatureingaben, Standortinformationen, die installierten Apps (…) – kurzum – fast alle relevanten Daten aufzuzeichnen, die auf einem Smartphone anfallen. Zweifelsfrei nachgewiesen ist bisher, dass die auf einem HTC-Gerät für den US-Markt installierte Carrier IQ Software Suchanfragen und gewählte Telefonnummern schon während des Eintippens aufzeichnet. Carrier IQ sah sich daraufhin veranlasst, eine Pressemitteilung (Linke entfernt) herauszugeben, in der klargestellt wurde, dass Carrier IQ zwar einen weitreichenden Zugriff auf die Daten des Gerätes habe, aber keine Inhalte von SMS, E-Mails, Photos sowie Audio und Videoinhalten sammele. Beispielsweise könne die Software nachvollziehen, ob eine SMS korrekt gesendet wurde, aber nicht was in der SMS gestanden habe. [Update 12.12.11] Ineinem Update der Pressemelung vom 12.12.2011 gestand Carrier IQ dann ein, dass es auf Grund eines Bugs in einigen seltenen Fällen doch dazu gekommen sei, dass der Inhalt der SMS übermittelt worden sei. Dieser Inhalt wäre aber kodiert und damit nicht durch Menschen lesbar gewesen. [/Update] Weiterhin wisse man auch, welche Apps den Akku leersaugen, Screenshots würden jedoch nicht erstellt. Auch auf die Frage warum Carrier IQ auf den Geräten installiert ist, gibt die Pressemeldung Aufschluss: Carrier IQ werde im Interesse der Netzbetreiber installiert, um diesen eine Verbesserung der Servicequalität zu ermöglichen. Der Mitteilung kann man auch entnehmen, dass es nicht „eine“ Carrier IQ Version, sondern jeweils auf den Kunden zugeschnittene Lösungen gibt.

Dies ließe vermuten, dass sich Carrier IQ Software nur auf Geräten befindet, die spezifisch auf den Netzbetreiber angepasst sind (sog. Branding). Ganz so einfach ist es jedoch nicht, da auch Apple’s populäres iPhone Carrier IQ  Software nutzt(e). In einem Rundschreiben an die Medien gab die Firma aus Cupertino bekannt, dass die Unterstützung von Carrier IQ mit iOS 5 für die meisten Geräte eingstellt wurde. Gegenüber ars technica führte Apple aus, dass das iPhone 4 auch mit iOS 5 noch Carrier IQ Software verwendet. Mit einem zukünftigen Update soll die Software jedoch aus sämtlichen iOS Geräten entfernt werden. Fraglich ist allerdings, ob dies auch für „alte“ Geräte gilt, die nicht auf iOS 5 geupdatet werden können. Die Apple-Implementierung bietet gegenüber den Androidversionen die Besonderheit, dass es sich um ein Opt-In Verfahren handelt. Standardmäßig ist die Option laut Angaben von Apple ausgeschaltet. iPhone-Nutzer können unter Einstellungen>Allgemein>Info>Diagnose & Nutzung überprüfen, ob das automatische Senden von Diagnose & Nutzungsdaten aktiviert ist. Ebenfalls kann dort eingesehen werden, welche Diagnose & Nutzungsdaten erhoben wurden. Die Daten werden im Falle der iOS-Implementierung nicht an Mobilfunknetzbetreiber gesendet, sondern an Apple selbst.

Dies wirft die Frage auf, wer (nach bisherigem Kenntnisstand) von Carrier IQ betroffen ist:

Zugegeben haben bisher die US Provider AT&T, Sprint und T-Mobile USA den Einsatz von Carrier IQ auf ihren Geräten. Wie eben erläutert, setzt(e) auch Apple die Software in gewissem Umfang ein. HTC und Motorola haben angegeben die Geräte auf Wunsch der Provider mit der Software auszustatten, wobei HTC explizit betonte, dass dies für den europäischen Markt nicht geschehe. Auch auf Smartphones von Samsung und Huawei wurde Carrier IQ Software nachgewiesen.

Die deutschen Provider Telekom, E-Plus und Vodafone haben angegeben, die Software nicht zu nutzen. Mehr Spielraum lässt die Aussage von O2 zu: O2 erhält nach eigenen Angaben keine Kundendaten durch Carrier IQ. Dies schließt jedoch nicht aus, dass die Software auf O2 Geräten installiert (und möglicherweise deaktiviert) ist.

Googles Nexus Geräte (One, S, S 4G und Galaxy) laufen mit einem weder durch Hersteller noch durch Provider angepassten Android-Betriebssystem und sind daher frei von Carrier IQ Software. Auch auf Geräten von HP, Palm, RIM und sämtlichen Windows Phone 7 Geräten ist bisher keine Spur von Carrier IQ nachzuweisen gewesen.

Für den Nutzer stellt sich die Situation also wie folgt dar: Mit Windows Phone, Web OS und Blackberry Geräten ist man nach bisherigen Erkenntnissen auf der sicheren Seite. Bei Apple kann man die Funktion, wie oben beschrieben, zumindest abschalten. Android Nutzer können mit einem Tool von Trevor Eckhart herausfinden, ob ihre Geräte von Carrier IQ (und sonstiger Loging-Software) betroffen sind. Eine Abschaltung der Software ist dabei nicht vorgesehen, kann aber im Einzelfall gerätespezifisch mit etwas Aufwand bewerkstelligt werden.

Juristische Reaktionen auf Carrier IQ

Auf Grund der Berichterstattung durch die Medien hat US-Senator Al Franken, seines Zeichens Vorsitzender des Unterausschusses für Datenschutz und Technologie, Carrier IQ, die Netzbetreiber und die Gerätehersteller aufgefordert, bis Mitte Dezember ausführliche Informationen vorzulegen. Insbesondere will er dabei wissen, ob gewählte Telefonnummern und der Inhalt von SMS aufgezeichnet werden. Gestützt auf den sogenannten Federal Wiretap Act sind nach Medienberichten in den USA mittlerweile auch Sammelklagen gegen Carrier IQ, Apple, HTC, Samsung, Sprint, AT&T und T-Mobile USA eingereicht wurden. Auch die deutschen Datenschützer sind nicht untätig geblieben: Einem Bericht von Bloomberg zufolge hat der Bayerische Landesdatenschutzbeauftragte, Thomas Kranig, Apple um Details bezüglich dem Einsatz von Carrier IQ gebeten. (se)

1 2