Ich hatte das Thema ja schon ein paar Tage auf dem Radar, komme aber erst zum Wochenende dazu, es in einen Artikel zu kleiden: Adware-Bibliotheken in Android-Apps, die eine dicke Sicherheitslücke darstellen und im dümmsten Fall das Gerät zu einem Teilnehmer eines Botnetzes machen.
Anzeige
App-Entwickler leben auch nicht mehr "im gelobten Land, wo Milch und Honig fließen". Vielmehr wird es schwieriger, mit bezahlten Apps noch wirklich Geld zu machen. Vor ein paar Tagen bin ich auf diesen Mashable-Artikel gestoßen, der die Situation beleuchtet (und bei Recherchen zum Blog-Beitrag habe ich noch diesen Artikel mit interessanten Erfahrungen gefunden). Im Mashable-Artikel findet sich eine Grafik mit der Information, das 71% der App-Einkünfte von kostenlosen Apps stammen (gilt zwar für die USA und den Februar 2013 unter iOS – aber bei Android kann man wohl ähnliche Zahlen annehmen).
Mit anderen Worten: Viele Entwickler erhalten Vergütungen für Gratis-Apps über irgendwelche Werbefinanzierung. Dagegen ist auch nichts einzuwenden – auch hier in meinem Blog bringen Google-Adsense-Einblendungen und Amazon.de-Bestellungen ein paar Euro ein.
Aber es gibt eine Sicherheitslücke
So weit, so gut. Um Werbung in Android-Apps einzubinden, gibt es komplette Bibliotheken. Die Sicherheitsforscher von FireEye haben nun eine dieser Bibliotheken genauer unter die Lupe genommen. Ergebnis: Die Bibliothek steckt in 1,8 % aller Apps, die mehr als eine Million mal heruntergeladen wurden – wird von ca. 200 Millionen Nutzern verwendet und stellt ein Sicherheitsrisiko dar. Hintergrund ist, dass die Bibliothek (wie auch andere Bibliotheken) ziemlich viele Zugriffsrechte bei der Installation der App anfordert und den Benutzer dann ausspionieren kann. Kriminelle haben damit die Möglichkeit, Einsicht in Dateien zu nehmen, Mikro und Kamera einzuschalten, IMEI und Kontakte abzugreifen, oder das Gerät zu kontrollieren und bei Bedarf über nachgeladenen Code in ein Botnetz zu integrieren. Bisher wurden Google und der Entwickler der Bibliothek kontaktiert – und diese sollen angeblich an Lösungen für das Problem arbeiten. Sowohl heise.de als auch Spiegel Online haben da noch ein paar Infos in ihre Artikel eingebaut.
Gibt es ein Gegenmittel?
Unter dem Strich ist das keine wirklich beruhigende Vorstellung, wenn man eine kostenlose App aus dem Google Play Store herunterlädt und mit Werbung begrüßt wird. Und in letzter Zeit stelle ich bei Tests von Android-Apps immer häufiger fest, dass die Zugriff auf quasi alles haben wollen. Bei Apple gab es mal Ähnliches – dort konnte man mit dem IPAScanner prüfen, ob die Apps befallen waren (ich hatte hier darüber gebloggt).
Bei Android ist mir momentan nichts derartiges bekannt. Für Firmen bietet Fraunhofer wohl das hier zur App-Überprüfung. Es gibt zwar den SRT AppScanner, der aber nur zwei bekannte (und im PlayStore geschlossene) Sicherheitslücken prüft. Denkbar wäre auch, den SRT App-Guard zu installieren – wobei ich da aber keine Erfahrung habe, wie zuverlässig das ist. Hier findet sich auch noch ein Artikel, der sich mit der Thematik App-Berechtigungen befasst. In Android 4.3 gibt es App OPS – den versteckten App-Permission-Manager (siehe diesen Artikel – oder hier auf deutsch). Mit dem App Ops Starter aus dem Play Store lässt sich die Funktion abrufen – allerdings habe ich in einem Kurztest nicht wirklich erfolgreich alle Apps überprüfen können (hier gibt's noch einige kurze Infos).
Fazit: Alles nicht wirklich schön – und ich werde das Gefühl nicht los, dass sich die Industrie mit dem ganzen App-Geraffel am Ende des Tages ziemlich in's Knie schießt. Apps werden kaum dokumentiert (sehe ich momentan extrem an Windows 8-Apps) und können teilweise nur über den App-Store des OS-Herstellers (Microsoft, Apple) bezogen werden. Bezahlung muss teilweise per Kreditkarte erfolgen (wenn auch mit Gift-Cards experimentiert wird). Monopolistische Strukturen waren noch nicht gut und am Ende auch nicht erfolgreich. Oder wie seht ihr das? Und habt ihr ggf. eine Kur gegen dieses App-Berechtigungs-Problem?
2015
Ja, ich habe ein Problem mit diversen Apps und deren Berechtigungen. Erst letztens wollte ich mir eine App installieren (ich glaube es war eine Dateimanagement-App) für mein Android-Smartphone und die wollte für fast alles eine Berechtigung. Wozu braucht eine Dateimanagement-App Berechtigungen für evtl. kostenpflichtige Telefonnummern? Natürlich hat die App nicht den Weg auf mein Smartphone gefunden, aber das Problem sind ja die anderen über 80% der Android-Smartphone-Besitzer, die werfen auf das Smartphone alles rauf was irgendwie zu haben ist und am Ende ist das Geschrei wieder groß, wenn das Smartphone nicht mehr läuft.
Hier sollte Google vielleicht auch mal eingreifen und App-Berechtigungen überprüfen bzw. genau dokumentieren lassen. Diese Dokumentationen sollte der "Endverbraucher" logischerweise auch nachlesen können.