Jede fünfte Android-App greift auf private Daten zu
Jede fünfte App, die es im Android Market zum Download gibt, greift auf sensible Nutzerdaten zu. Das berichtet die Sicherheitsfirma SMobile Systems in einer aktuellen Studie. Es würden sich einige dieser Apps als wahre Spionagesoftware entpuppen, die persönliche Informationen aus E-Mails, SMS, Telefonanrufen und Ortungsdiensten auslesen. Sprich: nur ein wirklich kleiner Teil der 20% sind auch wirklich darauf ausgelegt zu spionieren. Es ist natürlich klar, dass Apps auch auf Nutzerdaten zugreifen müssen, um überhaupt ihre Aufgabe erfüllen zu können.
Was allerdings wirklich beunruhigt, ist die Tatsache, dass es einige Apps wirklich darauf angelegt haben Menschen in hohe Kosten zu stürzen. Denn rund 5% der verfügbaren Apps sind in der Lage Anrufe jeder Art - auch zu Sonderrufnummern - zu tätigen. 2 Prozent der untersuchten Apps konnten ohne Zutun des Eigentümers SMS-Nachrichten an kostenpflichtige Premiumdienste versenden.
Natürlich muss auch hier nicht automatisch von bösem Willen, oder Betrug ausgegangen werden. Trotzdem ist es beunruhigend, dass es eine wachsende Anzahl von Schädlingen und Spyware im Android Market gibt.
Ein bißchen mehr Kontrolle - und sei es durch die Nutzer selber - wäre auch hier von Nöten...
Quelle: derstandard.at
Nummern wählen und SMS schreiben können nach meinen Erfahrungen fast ausschliesslich Apps, die das wirklich benötigen zB Dialer One. Etwas mehr Mühe habe ich mit der Kombo Kontakte lesen/Internet, welche jede zweite App darf.
@Alex: bzgl. der Datenkrake Google ... Apple hat in seinen Nutzungsbedingungen erst letztens klammheimlich auch einen Passus eingefügt, der es ihnen erlaubt nutzerbezogene Daten (auch GPS etc.) zu erheben und für ihr Unternehmen, so wie ihre Partnerunternehmen zu benutzen ;) Auch Apple geht den Schritt in Richtung "Personalisierung" ...
dachte mir auch sowas wie mithrial, dass es möglich sein sollte bei jeder app seperat entscheiden zu können, ob sie denn jetzt auch alle rechte kriegt, die sie haben will.
da sehe ich aber ein problem: werbung
viele apps finnazieren sich durch die werbung und wenn man diesen apps einfach denn internet-hahn zudrehen könnte, wird wahrscheinlich die vielfalt der freeware-/adware-apps darunter leiden.
vielleicht währe es da möglich einen "werbekanal" einzuführen, wo werbung durchgeschleußt wird, obwohl das internet blockiert ist.
damit dann werbe-traffic dann aber überhaupt auch als solcher erkannt wird müsste man im android-sdk schon eine klasse "ads" einführen.
dann konnte google verschiedene werbekanäle einzelnd überprüfen, die dann direkt in mehreren apps benutz werden könnten, da sie über die klasse "ads" freigeschalted wurden.
Zitat: "Was allerdings wirklich beunruhigt, ist die Tatsache, dass es einige Apps wirklich darauf angelegt haben Menschen in hohe Kosten zu stürzen."
Die Aussage kommt immerhin von jemandem der Geld mit dem Verkauf von Schutz vor solchen Bedrohungen verdienen möchte.
Hat jemand wirklich schon eine Anwendung für Android im Market gesehen die es darauf anlegt Menschen in hohe Kosten zu stürzen?
Legt es hier jemand darauf an Menschen in hohe Kosten für den Kauf von Schutzsoftware zu stürzen?
Ich finde es sollten beim Installieren die benötigten Rechte mit Checkboxen auswählbar sein um so die "verdächtigen" Berechtigungen deaktivieren.
Das schlimme an der Geschichte ist eigentlich nur, das Android mir nicht die Möglichkeit gibt, live einzusehen, welche App welche Aktionen ausführen will.
Jede billige Firewall aufm PC kann den Kontakt nach aussen erstmal unterbinden und mich fragen ob ich das will.
Und bei Android soll das nur als Root möglich sein??
@Fabien
Zeig doch auf was es für Möglichkeiten für den User gibt das unter Kontrolle zu halten. Dann siehts nicht ganz so nach Werbung für die Firma SMobile aus.
Sonst ist der Blog nicht mehr als ein Presseartikel der SMobile.
@ Sylar:
"Soweit ich weiß überprüft apple sämtliche apps."
Genau, und darum können die Apple-User sicher sein, das sie von den Apps nicht ausspioniert werden:
http://consumerist.com/2009/11/iphone-app-developer-sued-for-stealing-users-phone-numbers.html
...und zu den Testern: was genau sollen die denn in welcher Form prüfen?
Solange die keine genaue Analyse des Sourceodes durchführen, kann man deren Tests immer überlisten, und dann erzeugst du mit den Siegeln eine Scheinsicherheit... und wer haftet, wenn eine App mit Siegel dann doch 10 Stunden mit Timbuktu telefoniert?
@ Wuffze:
Sowas will und muß der eiFon User gar nicht wissen, weil Apple ja bereits entschieden hat, das die App gut ist ;)
eine blacklist wäre sinnvoll
ausserdem kann man solche apps ja melden :)
sobald mir sowas passiert bezüglich hohe kosten werde ich mein kollege einschalten..informatiker von beruf hacker als hobby...
@ Wuffze: Soweit ich weiß überprüft apple sämtliche apps.
Warum engagiert google nicht ein paar tester, und getestete apps bekommen dann n siegel "getestet, keine malware" oder sowas...
wie ist das eigentlich beim iphone? wird da auch angezeigt, was benötigt wird? Is mir grad so in den Kopf geschossen :)
hier empfehle ich die app "aspotcat" damit kann man jedes nutzverhalten aller apps einsehen und sich dann nochmal entscheiden behalt ich ein app oder nicht
Das liegt wohl daran, dass es sehr einfach ist solche Statistiken zu erzeugen, aber Aufwand bedeutet die Statistiken erst dann zu erzeugen, wenn der Anwender zustimmt.
Die meisten Anwender wären vermutlich auch abgeschreckt und würden sich dann für ein Programm entscheiden, von dem sie nicht gefragt werden.
Aber solche Statistiken werden eigentlich immer erhoben, egal ob Du eine Internetseite besuchst oder an Deiner Konsole spielst.
@ Christian
mag sein das ich vielleicht einer der wenigen bin aber die feedback funktion nutz ich recht häufig.
vorallem bei fehlerhaften spielen/programmen.
(nicht alleine auf android bezogen)
das mit den kommentaren im market ist wirklich schade, dass stimmt
hab da auch schon so manches mal mit dem kopf geschüttelt.
leider ist das eher ein gesellschaftliches problem, dass die moral und das soziale verhalten stetig den bach runter geht.
aber weiter zum thema:
wenn der entwickler schon der meinung ist, daten auszuspähen, dann verlange ich, dass ich darüber informiert werde und auch weiß, was er für daten bekommt.
Mir geht es nicht darum, einem entwickler das leben schwer zumachen, vorallem wenn es mal ein entwickler ist, welcher sinnvolle ideen hat.
Aber wenn jemand meint mich auspionieren zu wollen und dieses als selbstverständlich sieht, dann werde ich echt groggy.
leider hat man als nutzer oftmals garnicht die möglichkeit, dagegen was zu tun, bzw. es überhaupt herraus zu finden.
Gruß
- Alex
@Alex:
Naja in einem Forum erhält man nicht unbedingt viel Feedback von Leuten...
Sagen wir mal 10.000 User und im Forum schreiben viell. 10 User...
Da kann man nicht viel sagen.
Bei den Statistiken geht es eher darum dass man sieht wer in welchen Land und wie viele es verwenden.
Dadurch kann man dann abschätzen ob es sich auszahlt es auf Englisch zu übersetzen oder diverse englische Ausnahmen einzubauen usw..
Weiters ist es oft wichtig wie viele User noch mit 1.5 Android es benützen, denn es ist sehr viel mehr Aufwand immer für 1.5 alles mit zu entwickeln.
Das mit dem GPS verstehe ich jedoch auch nicht, denn für den ungefähren Ort/Land genügt es auch über Mobilfunk, da braucht keiner ein GPS !!
Internet benötigt man auch oft um Fehler automatisch zu senden, dadurch kann das Problem verbessert und fehlerfreier gemacht werden.
Und zum Feedback Button:
Sei ehrlich würdest du da drauf drücken und was rein schreiben?
Das machen sehr viele User nicht mal wenn das Programm einen Fehler hat.
Dann wird einfach ein blöder Kommentar in den Market geschrieben und das wars...
Hmmm... Schwierige Sache! Einerseits brauchen Apps Berechtigungen, um ihre Funktion erfüllen zu können... Aber natürlich können diese Berechtigungen auch missbraucht werden...
Ein offener Market hat eben auch Nachteile^^
Jetzt mal was Anderes, wie ist das eigentlich mit den diversen Antivirus-Programmen für Android?! Die scannen doch auch oft die neu geladenen Apps... Und soweit ich weiß hat z.B. Lookout schonmal bei einer App angeschlagen^^
Wäre doch toll wenn die Entwickler der Antivirussoftware die Apps untersuchen und die "faulen Äpfel" von der Software "aussortieren" lassen würden, sobald man sie installieren will!
...oder eben Google kontrolliert mehr... Womit wir uns wieder gefährlich nahe an die "Apple-isation" wagen... ;)
um so mehr bösartige meldungungen über google in die medien kommen, um so mehr bin ich überzeugt mit android die richtige entscheidung getroffen zu haben!
Bei den apps ist halt wirklich auch jeder selbst gefordert.
ich weiß nicht, was daran nützlich ist, wenn ein entwickler meinen GPS standort kennt.
will er vorbei kommen und mir auf die schulter klopfen und fragen, wie mir sein puzzel gefällt?
internet... ja für werbung, das wäre in der tat ein grund.
was aber nun mit den apps, die garkeine werbung haben?
statistikseiten?
moment, ich kann mich an kein app erinnern, was mich gefragt hat, ob es statistiken von mir sammeln, geschweige den verschicken darf.
ist es denn dann rechtens, auch wenn darauf hingewiesen wird, dass das app auf das internet zugreift aber nicht sagt, dass es statistiken verschickt?
wenn entwickler infos haben wollen, dann sollen sie sich an ein forum/community wenden oder einen feedback button einrichten aber bitte keine heimliche statistikerrei!
Gruß
- Alex
Es wird auch auch Zeit für Antiviren Software/ Spy SW . Ist zwar scheiße nütz aber nicht, so lang es immer noch solch Betrüger gibt (und es wird sie immer geben.)
Da kann mann nur immer seine Rechnung im Auge behalten.
@Alex: ich weiß auch nicht, warum ein Puzzel einen internetzugriff sowie GPS benötigt
--> Das ist sicherlich deshalb weil die Statistik Seiten verwenden und diese brauchen natürlich Internetzugriff um die Daten zu senden. GPS wäre damit sogar der Standort ganz genau statistisch festgehalten wird.
Aber das ist sicherlich auch nicht böswillig. Wir Entwickler benötigen oftmals Daten um die Programme besser zu gestalten bzw. zu verändern.
Der Android Market gibt da überhaupt keine Informationen darüber außer wie viele herunter geladen wurden und wie viele installiert sind. Das war es aber auch schon.
Die wenigsten Apps werden Sonderrufnummern brauche, da sollten schon die Alarmglocken läuten. Man muss ein wenig auf die Rechte achten und dann selber entscheiden, ob man diesen Entwickler die Rechte gibt.
Sicherheitsfirmen hauen gerne mal solche Meldungen heraus um auf sich aufmerksam zu machen.
"ich weiß auch nicht, warum ein Puzzel einen internetzugriff sowie GPS benötigt."
-> Admob bzw. Adsens Internetzugriff ist nötig, woher soll sonst die Werbung kommen, Ortung ist optional.
ganz meiner meinung...
ich weiß auch nicht, warum ein Puzzel einen internetzugriff sowie GPS benötigt.
allerdings sollte sich hier auch mal jeder im klaren sein, dass Android von GOOGLE gemacht wurde.
welche ja nun bekanntlich eine der größten Datenkraken überhaupt ist.
google mag zwar viele nützliche dinge haben, sie auch zu einem guten konstrukt zusammen bringen, was man sonst mir vielen einzelnen programmen macht.
aber wer Google OS, Android, Market, Chrome, Googlemail, Latitude, Checkout etc. nutzt,
sollte sich am ende nicht fragen, warum soviele daten von einem im umlauf sind.
das problem liegt also nicht alleine bei den APPs und den wirklich lächerlichen zugriffsrechten.
Gruß
- Alex
PS: ich bin überzeugt von dem projekt Android, nur seh ich auch gern das ganze paket, als nur die benutzeroberfläche.
naja wenn eine firma, die sicherheits apps verkauft, so eine studie macht, muss man sich schon ein wenig was dabei denken.
aber natürlich muss man als benutzer immer wenig aufpassen. mitdenken schadet nicht.
Das Problem ist hier glaube ich eher, dass der Android App Store auch Anbietern wie dem, der diese 'Untersuchung' gemacht hat, eine Heimat für ihre zweifelhaften Sicherheitsprodukte bietet. Nicht die vorhandenen Apps sind das Problem, sondern sogenannte 'Schutzprogramme', die man erst über Panikmeldungen promoten muss um einen bisher nicht vorhandenen Bedarf zu erzeugen. Das dabei die Plattform bzw. ihre Reputation an sich beschädigt wird ist für den Anbieter irrelevant.
Das ist für mich eines der ganz ganz wenigen Argumente für eine App Store Zensur. Bei Apple werden solche Produkte gar nicht erst zugelassen und dementsprechend gibt es keinen Anbieter der ein Interesse hat die Sicherheit der Apple Produkte madig zu machen.
PS: Ein kleiner Hinweis zum Hintergrund der Studie bzw. ihres Anbieters wäre in so einer Blogmeldung schön.
Diverse Rechte werden oftmals wirklich gebraucht.
Aber viele apps geben sich einfach fast alles, somit haben sie keine Problem und müssen nicht aufpassen etc...
Aber wenn man Werbung einblenden will, dann braucht man schon das Internet Recht und ich vermute auch das Location Recht, da die Werbung sicherlich auch Ortsbezogen eingeblendet wird.
Und für Statistik Apps, da leider der Market selber fast nichts anzeigt, braucht man auch oft viele Rechte (Ort, Internet, usw..)
Wenn ich z.b. eine Button einbauen will wo man drauf drückt und dann wird jemand angerufen, dann benötige ich auch das Telefon Recht.
Damit könnte ich natürlich ungewollt Anrufe tätigen, aber ohne könnte ich wiederum diese Funktion nicht einbauen.
Bei einer neuen app die ich gerade programmiere sende ich SMS Nachrichten, also brauche ich auch das SMS Recht.
Also könnte man jetzt auch automatich hunderte SMS senden ohne dass der User etwas mitbekommt.
Ist also immer schwer zu sagen ob es gleich böswillig ist.
Die Rechte werden einfach gebraucht um ein gutes Programm zu schreiben.
Mmmh dazu würde ich ja gerne mal einen Entwickler hören....
Ist es nicht so das diese Rechte meistens gebraucht werden damit das App läuft, ob jetzt für Werbung oder sonstiges.
Ich bin ja er ein gutgläubiger Mensch deshalb vermute ich dahinter jetzt einfach mal ein bisschen Panik mache.
Lasse mich natürlich trotzdem auch gerne verbessern.
gibt es eine Übersicht:
*welche verschiedenen "Zugriffe" es gibt
*welche Zugriffe man für welche Funktionen benötigt
**Werbung
**Einstellungen ändern
**...
*gibt es einen Unterschied zw. SMS lesen und sende
*auf welche man achten soll
EDIT: bei den apps (apit) gibt es ja schon eine Info bei Mouse-Over
gibt es dazu auch eine Liste?
Bei manchen Apps finde ich die geforderten Berechtigungen gradezu lächerlich!
Ich bin eh der Meinung, dass der Market eine gnaze Ecke mehr kontrolliert werden sollte - klar nicht soviel wie der von Apple, aber im Moment artet es aus!