9 Feb 2017

Alles über Berechtigungen für Android-Apps

Privatsphäre Sicherheit Tipps

Wenn es um Malware geht, hat Android einen sehr guten Abwehrmechanismus – das Berechtigungssystem für Apps. Dieses System legt bestimmte Aktionen fest, die eine App ausführen darf (oder nicht). Standardmäßig werden alle Android-Apps in einer Sandbox ausgeführt — einem isolierten Bereich. Wenn sie auf Daten außerhalb der Sandbox zugreifen, diese bearbeiten oder löschen wollen, brauchen sie dafür die Genehmigung des Systems.

Berechtigungen sind in verschiedene Kategorien unterteilt, aber wir werden nur über zwei sprechen normal und gefährlich. Normale Berechtigungen umfassen solche Aktionen, wie den Zugriff aufs Internet, Icon-Erstellung, Bluetooth-Verbindung usw. Diese Berechtigungen werden standardmäßig vergeben und benötigen keine Zustimmung des Users.

Wenn eine App eine der „gefährlichen“ Berechtigungen braucht, dann ist eine Bestätigung durch den User erforderlich. Also warum werden einige Berechtigungen als gefährlich eingestuft? Sind sie von Natura aus gefährlich? Und in welchen Fällen sollten Sie sie genehmigen?

Gefährliche Berechtigungen

Die „gefährliche“ Kategorie enthält neun Berechtigungsgruppen, in denen Apps auf eine Art mit der Privatsphäre oder Sicherheit des Users verbunden sind. Im Gegenzug enthält jede Gruppe verschiedene Berechtigungen, die eine App fordern kann.

Wenn ein User eine der Berechtigungen bestätigt, erhält die App automatisch alle Berechtigungen der gleichen Gruppe, ohne dass eine zusätzliche Bestätigung notwendig wäre. Wenn eine App z. B. die Berechtigung zum Lesen von SMS erhält, dann darf sie auch SMS verschicken, MMS-Nachrichten lesen und andere Aktionen dieser Gruppe durchführen.

Kalender

Was sie erlaubt:

  • Im Kalender gespeicherte Ereignisse lesen (READ_CALENDAR).
  • Alte Ereignisse bearbeiten oder neue erstellen (WRITE_CALENDAR).

Warum sie gefährlich ist: Wenn Sie aktiv Ihren digitalen Tagesplaner nutzen, dann wird die App alles über Ihre tägliche Routine wissen und könnte dies mit Kriminellen teilen. Außerdem könnte eine fehlerhafte App unabsichtlich ein wichtiges Meeting aus Ihrem Kalender löschen.

Kamera

Was sie erlaubt:

  • Durch Kamerazugriff (CAMERA) kann die App Ihr Telefon nutzen, um Fotos und Videos auszunehmen.

Warum sie gefährlich ist:Eine App kann jederzeit heimlich Videos oder Fotos aufnehmen.

Kontakte

Was sie erlaubt:

  • Kontakte lesen (READ_CONTACTS).
  • Kontakte bearbeiten oder neue hinzufügen (WRITE_CONTACTS).
  • Auf Account-Listen zugreifen (GET_ACCOUNTS).

Warum sie gefährlich ist: Eine App kann sich durch Ihr ganzes Adressbuch wühlen. Diese Daten sind für Spammer und Betrüger sehr attraktiv. Diese Berechtigung gestattet auch Zugriff auf die Liste aller Accounts, die Sie in den Apps auf diesem Gerät nutzen — Google, Facebook, Instagram usw.

Standort

Was sie erlaubt:

  • Auf ihren ungefähren Standort zugreifen (ACCESS_COARSE_LOCATION), der durch Mobilfunkstationen und WLAN-Hotspots übermittelt wird.
  • Aus Ihren genauen Standort zugreifen (ACCESS_FINE_LOCATION), der durch GPS-Daten übermittelt wird.

Warum sie gefährlich ist: Die App weiß durchgängig, wo Sie sich befinden. Sie könnte z. B. Einbrecher wissen lassen, dass Sie weit weg von Zuhause sind.

Mikrofon

Was sie erlaubt:

  • Audios vom Mikrofon aufnehmen (RECORD_AUDIO).

Warum sie gefährlich ist: Die App kann alles aufnehmen, was in der Nähe Ihre Telefons vor sich geht. All Ihre Unterhaltungen. Nicht nur, wenn Sie über das Telefon sprechen, sondern den ganzen Tag.

Telefon

Was sie erlaubt:

  • Durch Lesen des Telefonstatus (READ_PHONE_STATE) kann die App Ihre Telefonnummer, aktuelle mobile Netzwerkinformationen, den Status Ihrer Telefonate usw. erfahren.
  • Anrufe tätigen (CALL_PHONE).
  • Anruflisten lesen (READ_CALL_LOG).
  • Die Anrufliste ändern (WRITE_CALL_LOG).
  • Eine Mailbox hinzufügen (ADD_VOICEMAIL).
  • VoIP verwenden (USE_SIP).
  • Durch das Verarbeiten von Anrufberechtigungen (PROCESS_OUTGOING_CALLS) kann die App sehen, wer anruft, auflegen oder den Anruf an eine andere Nummer weiterleiten.

Warum sie gefährlich ist: Wenn Sie Telefonberechtigungen erteilen, übernimmt die App fast jede Aktion, die mit Sprachkommunikation verbunden ist. Die App wird wissen, wann und wen Sie anrufen, einschließlich gebührenpflichtiger Nummern.

Bodysensoren

Was sie erlaubt:

  • (BODY_SENSORS) — diese Berechtigung stellt Zugriff auf Ihre Gesundheitsdaten von bestimmten Sensoren, wie Herzrhythmusmonitoren, bereit.

Warum sie gefährlich ist: Wenn Sie Zubehör, wie Bodysensoren, verwenden (nicht die in das Telefon eingebauten Bewegungssensoren), erhält die App Daten zu Ihrem Körper.

SMS

Was sie erlaubt:

  • Versenden von SMS (SEND_SMS).
  • Lesen von gespeicherten SMS (READ_SMS).
  • Erhalten von SMS-Nachrichten (RECEIVE_SMS).
  • Erhalten von WAP Push-Meldungen (RECEIVE_WAP_PUSH).
  • Erhalten von eingehenden MMS-Nachrichten (RECEIVE_MMS).

Warum sie gefährlich ist: Mit ihr kann die App Ihre eingehenden SMS-Nachrichten empfangen und lesen sowie sie versenden (auf Ihre Kosten natürlich). Kriminelle können z. B. mit dieser Berechtigung Ihre Opfer ungewollte gebührenpflichtige Dienste abonnieren lassen.

Speicher

Was sie erlaubt:

  • SD-Karten oder andere Speicher lesen (READ_EXTERNAL_STORAGE).
  • Datensätze in Speichern oder SD-Karten speichern (WRITE_EXTERNAL_STORAGE).

Warum sie so gefährlich ist: Die App kann alle auf Ihrem Telefon gespeicherten Dateien lesen, ändern oder löschen.

Wie Sie App-Berechtigungen einstellen

Sie sollten jede Erlaubnis, die Sie erteilen, sorgfältig bedenken. Wenn z. B. ein Spiel oder Tool zur Fotobearbeitung auf Ihren aktuellen Standort zugreifen möchte, dann ist das fragwürdig. Gleichzeitig brauchen Karten und Navigatoren wirklich GPS-Daten – aber keinen Zugriff auf Kontaktlisten oder SMS-Nachrichten.

Wenn eine Berechtigungsanfrage einer App verdächtig ist, sollten Sie sie nicht installieren – oder zumindest diese Berechtigungen verweigern.

Bei Android 6 und späteren Versionen fragen Apps User nach ihrer Zustimmung, jedes Mal wenn sie eine der gefährlichen Berechtigungen benötigen. Wenn Sie diese nicht geben möchten, können Sie die Anfrage jederzeit ablehnen. Sollte die App diese Berechtigungen wirklich brauchen, wird sie eine Fehlermeldung anzeigen und nicht richtig ausgeführt werden.

Eine Berechtigungsanfrage einer App um Telefonanrufe durchzuführen und zu verwalten

Sie können auch die Berechtigungsliste überprüfen und jede einzelne Berechtigung einer App ändern. Wählen Sie zunächst EinstellungenApps (die Namen dieser und folgender Menüeinträge können je nach Ihrer Version von Android variieren).

Jetzt können Sie auf zwei unterschiedliche Weisen vorgehen. Zunächst können Sie alle Berechtigungen überprüfen, die einer bestimmten App zugeordnet sind. Klicken Sie dafür auf den Namen der App und wählen Sie Berechtigungen.

 

Zweitens können Sie die ganze Liste der Apps durchgehen, die bereits eine gefährliche Berechtigung angefordert hat oder sie noch anfordern kann. Es ist z. B. eine gute Idee, zu überprüfen, welche Apps Zugriff auf Ihre Kontaktliste wollen und verdächtige App davon abhalten. Wählen Sie dafür Apps konfigurieren (das Zahnrad in der oberen rechten Ecke) und klicken Sie dann auf App-Berechtigungen.

Spezielle Zugriffrechte

Neben den gefährlichen Berechtigungen kann eine App auch spezielle Zugriffsrechte fordern. Sollte das der Fall sein, sollten Sie immer vorsichtig sein: Trojaner fordern oft solche Rechte an.

Barrierefreiheit

Diese Berechtigung vereinfacht Personen mit Seh- oder Hörschwächen die Arbeit mit Apps und Geräten. Malware kann diese Funktionen missbrauchen.

Nachdem Trojaner diese Rechte erhalten haben, können sie Daten von Apps abfangen (einschließlich Eingabetext – hier sind Passwörter das Hauptziel). Zusätzlich kann Malware Apps im Google Play Store erwerben.

Standard-Messaging-App

Banking-Trojaner zielen darauf ab, die Standard-SMS-App zu werden; dadurch können sie SMS lesen und sie verbergen — selbst in späteren Versionen von Android. Trojaner können z. B. diese Funktion nutzen, um Banking-Passwörter von SMS-Nachrichten abzufangen und schädliche Transaktionen ohne das Wissen des Users durchzuführen (denken Sie daran: sie können SMS-Nachrichten verbergen).

Immer ganz oben

Durch Berechtigung dazu, Fenster anderer Apps zu verdecken, können Trojaner Phishing-Fenster über legitimen Anwendungen anzeigen (meist Apps für mobiles Banking oder soziale Netzwerke). Opfer denken, dass sie ihre Passwörter in Formulare echter Anwendungen eingegeben haben, jedoch geschieht all das in einem falschen Fenster, das vom Trojaner angezeigt wird, und dadurch werden sensible Daten an Kriminelle weitergeleitet.

Rechte für Geräteadministratoren

Eine App fordert Administratorenrechte

Mit diesen Rechten kann der User das Passwort ändern, die Kamera sperren oder alle Daten vom Gerät löschen. Schädliche Apps versuchen oft, diese Berechtigungen zu erhalten; App mit Administratorenrechten sind schwer zu deinstallieren.

Root-Berechtigungen

Dies sind die gefährlichsten Berechtigungen. Standardmäßig gewährt Android App diese Rechte niemals, aber einige Trojaner können Systemschwachstellen nutzen, um diese zu erhalten. Ist dies einmal geschehen, wird anderer Schutz nutzlos – die Malware kann durch Root-Berechtigungen machen, was sie will, ganz egal, welche Berechtigungen das Opfer gibt oder ablehnt.

Es muss erwähnt werden, dass selbst das neue Berechtigungssystem (angewendet in Android 6) nicht vollständig vor Malware schützt. So zeigt z. B. der Trojaner Gugi wieder und wieder eine Berechtigungsanfrage an, die andere Fenster überdeckt, bis sie gestattet wird. Danach verdeckt die Malware alle anderen Apps, bis es andere Berechtigungen erhält, die sie braucht.

Fazit

Apps sollten nicht das machen dürfen, was auch immer sie auf Ihrem Telefon machen wollen – besonders wenn sie grundlos gefährliche Berechtigungen anfordern.

Einige Apps benötigen tatsächlich viele Berechtigungen. Antivirusprogramme brauchen z. B. viele Berechtigungen, um ein System zu scannen und es proaktiv vor Bedrohungen zu schützen.

Die Schlussfolgerung hierbei ist: Bevor Sie bestimmte Rechte gewähren, überlegen Sie, ob die App sie wirklich braucht. Sollten Sie sich nicht sicher sein, forsche Sie online nach.

Und zu guter Letzt: Selbst die aufmerksamsten User sind nicht vor Malware sicher, die Systemschwachstellen nutzt. Darum ist es wichtig, die Berechtigungen Ihrer Apps richtig zu verwalten, damit Sie Ihre Privatsphäre vor einem Ausspionieren durch Apps schützen, und eine verlässliche Sicherheitslösung zu installieren, die Ihr Gerät gegen gefährliche Trojaner und Viren schützt.