Sicherheitsrisiko: Vorinstallierte Android-Apps

Die auf Android-Geräten vorinstallierten Apps der Hersteller stellen ein größeres Sicherheitsrisiko für die Nutzer dar, als bekannt. Eine Studie hat nun ergeben: Datenabflüsse durch Apps und Sicherheitslücke, wohin man schaut.


Anzeige

Hier im Blog hatte ich ja häufiger berichtet, dass Apps im Google Play-Store mit Malware oder Adware verseucht ist. Diese Apps können Nutzer ja deinstallieren und die Finger von lassen. Viele Android-Geräteanbieter liefern ja vorinstallierte Apps – gerne auch als Bloatware bezeichnet – mit. In einer Studie haben Sicherheitsforscher des IMDEA Networks Institute, der Universidad Carlos III de Madrid, und der Stony Brook University jetzt 1.700 Geräte von 200 Geräteherstellern untersucht. Es ging um die Sicherheit und den Datenschutz der insgesamt 82.000 vorinstallierten Apps dieser Geräte.

Der Bericht ist etwas sperrig zu lesen – Techradar hat es hier besser aufbereitet. Die Analyse vorinstallierter Android-Software hat ergeben, dass viele Anbieter ihre eigene Version des Open-Source-Betriebssystems Android anbieten. Dabei missbrauchen die Anbieter die Android-Plattform, um Produkte mit integrierten Datenerfassungsdiensten auf den Markt zu bringen.

Diese Studie kam zu dem Schluss, dass Unternehmen, die eine eigene Android-basierte Firmware für Smartphones entwickeln, dazu neigen, Dritten den Zugriff auf Benutzerdaten in ihrer Software zu ermöglichen und diese Aktivitäten vor dem Benutzer zu verbergen.

“Diese Situation ist zu einer Gefahr für die Privatsphäre und sogar für die Sicherheit der Benutzer geworden”, behaupten die Autoren der Studie, “Grund ist der Missbrauch von Privilegien, wie im Falle vorinstallierter Malware, oder aufgrund schlechter Software-Engineering-Praktiken, die Schwachstellen und gefährliche Hintertüren verursachen”.

Die Analyse ergab, dass nicht nur die Smartphone-Hersteller für solche Verstöße verantwortlich ist. In diesem Umfeld tummelt sich eine “Unzahl von Akteuren”, vom Softwareentwickler bis zum Werbetreibenden. Und diese Parteien sind potenziell in geheime Partnerschaften eingebunden (z.B. durch bei der App-Entwicklung eingebundene Entwickler-Kit).

Von Sicherheitsmängeln in den vorinstallierten, Top-Free VPN Android Apps, die in den gefunden wurden, bis hin zu vorinstallierter Malware auf Alcatel Smartphones war alles dabei.

“Die Aktivitäten, persönlichen Daten und Gewohnheiten der Benutzer können von Interessengruppen ständig überwacht werden, von denen viele Benutzer vielleicht noch nie gehört oder gar zugestimmt haben, ihre Daten zu sammeln”, so die Studie. Bedeutete in meinen Augen, dass diese Geräte in Europa wegen der DSGVO nicht im geschäftlichen Bereich eingesetzt werden dürfen.


Werbung

Was die Lösungen für die aufgedeckte mangelnde Transparenz betrifft, schlagen die Forscher sie die Einführung einer objektiven “weltweit vertrauenswürdigen” Regulierungsbehörde vor. Dieses soll die Softwarezertifikate (anstelle der Anbieter) unterzeichnen. Weiterhin wird eine klare und öffentliche Dokumentation der vorinstallierten Apps, ihres Zwecks und der für sie verantwortlichen Stelle gefordert.

Ich fürchte, das wird ein frommer Wunsch bleiben. Erfahrenen Nutzern bleibt eigentlich nur, Lineage OS-kompatible Geräte zu kaufen, und diese mit Lineage OS sowie selbst ausgesuchten Apps auszustatten. Und selbst da könnte man noch ein Fallen laufen.


Anzeige
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Responses to Sicherheitsrisiko: Vorinstallierte Android-Apps

  1. RUTZ-AhA sagt:

    Solange die Hersteller derart unwillig sind, wird es diesbezüglich nie eine brauchbare Lösung geben.
    Daten sind das Rohöl heißt es nicht umsonst.
    Hauptgrund stets Geldgier der Beteiligten, gepaart mit Gewissenlosigkeit und Verantwortungslosigkeit.
    Das Problem ließe sich nur bekämpfen durch rigoroses an den Pranger stellen in der Öffentlichkeit inklusive harter Bestrafung.
    Ich bin kein Freund von D. Trump, aber in dieser Hinsicht agiert er härter.

  2. Reginald sagt:

    Donald hat damit nichts zu tun. Der benutzt ja lt Informationen sogar noch sein eigenes Smartphone, was er sich nicht verbieten lässt.

  3. Werbung

  4. Martin1 sagt:

    Linux ist soo sicher…
    Open Source ist sooo sicher … (open_ssl -> Heartbleed)
    Google ist ein ehrenwertes und vertrauenswürdiges Unternehmen…

  5. oli sagt:

    Klingt ja nicht so toll für mich als MS Lumia 950XL-Besitzer, dessen Support Ende diesen Jahres ausläuft. Immerhin 4 Jahre dann – hat man das bei Android auch? Vermutlich werd ich der Umwelt zuliebe erstmal beim Lumia bleiben, das funktioniert nämlich immer noch einwandfrei und bei den Telemetriedaten weiß ich zumindest, wo sie hingehen. Tatsächlich halten sich der Umfang und Tiefgang meiner von meinem Lumia gesammelten Daten in meinem MS-Konto in Grenzen, wenn man die entsprechenden Optionen in den Apps und im Betriebssystem setzt und datenschutzrelevante Funktionen nur dann aktiviert, wenn man sie auch braucht. Wenn ich mir so manche Android-Smartphone anschaue, grauts mir jetzt schon…

  6. Norddeutsch sagt:

    Ein großes Lob an Herrn Born. Dies sowohl für seinen Blog als auch für sein immer wieder übergreifend querdenkenden Hinweise, Blogs und Analysen.

    Selbst bin ich seit Jahren in der IT-Sicherheit & Compliance, angefangen von Sun Microsystems bis hin zum Audit in großen E-Commerce-Unternehmen…

    jedoch kämpft man allgemein seit Google, Facebook oder Smartphone zunehmend gegen Ignoranz … wenn langsam die Nutzer oder Anwender nicht mitdenken wird uns gefühlt und wie hier mit Studien bewertbar und nachvollziehbar ab Werk die Sicherstellung unserer (Informations-)Grundrechte oder die Einhaltung einer Corporate Governance für Unternehmen nahezu unmöglich gemacht.

    Vielleicht als Ergänzung – aktuelle Smartphone-Nutzung entspricht somit nicht nur aus Sicht der DSGVO ohne Management, Limitierung oder “übergreifender & definierter Policy” nicht dem Sollzustand und ist NICHT Rechtskonform – sofern damit z.B. Daten von Dritten, Unternehmen, Zahlungen, Rechtsanwälten, Ärzten, Steuerberatern und diverse Andere verarbeitet werden:
    – Tja, das gute alte BDSG – eigentlich schon seit 1970 (Hessen) oder 1977 (Bund)
    – IDW PS 951, Norm der Wirtschaftsprüfer
    – ISAE 3402, Nachfolger von SAS70
    – ISO 27001, ISMS
    – BS 17799
    – Selbst ITIL mit Blick auf Schutz von “Assets” oder “Configuration Items”
    – Auch in Cobit finden sich Ansätze
    – Aus Sicht von KontraG
    – Verschwiegenheitspflicht im Sinne von § 43 a Abs. 2 BRAO für Rechtsanwälte
    – § 9 Abs. 1 MBO für Ärzte
    – Die Nutzungsbedingungen von Android – einfach einmal durchlesen ;-)
    – …

    … die Liste ist würde recht lang, ein Grund warum zumindest Konzerne hektisch in Ansätzen erste Policies oder Verbote für diverse Dienste auf Smartphones erlassen. Dies jedoch wohl primär nicht zum Schutz der User oder Unternehmesdaten – sondern da eher die Pönalisierung im Rahmen der DSGVO ein wirksamer Hebel gemessen am Unternehmensumsatz ist …

    Um eines ganz klar zu sagen – Ich MAG TECHNIK. Ebenso bin ich für den Einsatz von Technik und Optimierungspotentialen. Jedoch erschreckt mich in den letzten Jahren welch Leichtgläubigkeit oder Umgang mit Ihr gepflegt wird…

    Daher wird umso wichtiger das “WIE” wir Technik, hier sind es Smartphones, nutzen. Dass das geht ist keine Frage mehr … Meine Triathlon-Schwimuhr hat heut mehr Rechenpower und Cloud-Anbindung als mein guter alter Commodore SX64.

    Abgewandelt nach “Peter Lustig” aus den 80ern:
    Abschalten jetzt (- oder MANAGEN?)!
    Ebenso immer wieder faszinierend: George Orwell 1984 …

    Herr Born, machen Sie bitte weiter so wie gehabt!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.