Das Berechtigungsmodell von Android soll eigentlich garantieren, dass die Nutzer selbst bestimmen können, auf welche Informationen einzelne Apps Zugriff haben. Soweit zumindest die Zielsetzung, in der Vergangenheit haben App-Hersteller aber immer wieder Wege gefunden, um diese Sperren auszutricksen. Welcher Tricks sich dabei manche Apps bedienen, und wie verbreitet dieses Phänomen ist, zeigt nun eine aktuelle Studie auf, die im Rahmen der PrivacyCon 2019 präsentiert wurde.

Untersuchung

Forscher des International Computer Science Institute (ICSI) haben insgesamt 88.113 der populärsten Android-Apps analysiert und kommen dabei zu einem ernüchternden Ergebnis: Mehr als 1.000 davon tricksen auf die eine oder andere Weise das Berechtigungsmodell von Google aus. Und darunter befinden sich auch einige prominente Namen.

IMEI

Besonders verbreitet ist der Versuch, Android-Geräte App-übergreifend eindeutig zu identifizieren – etwas das Google aus Privacy-Gründen über die Jahre immer weiter erschwert hat. Dabei bedient man sich der IMEI, also jener eindeutigen Hardwarekennung, die jedes Smartphone aufweist. Unter Android ist der Zugriff darauf zwar an sich über eine Berechtigung abgesichert, die Forscher haben nun aber herausgefunden, das viele Apps auch ohne diese Zugriff auf die IMEI haben. Der Ablauf sieht dabei folgendermaßen aus: Eine App, die legitimen Zugriff auf die IMEI hat, speichert am lokalen Datenträger eine verschlüsselte Datei ab. Auf diese haben dann andere Apps Zugriff solange sie die Storage-Berechtigungen besitzen – was bei sehr vielen Programmen der Fall ist. So erhalten sie die IMEI und das betreffende Gerät kann App-übergreifend identifiziert werden.

Interessant ist das vor allem für Werbenetzwerke, die so die Beschränkungen von Android umschiffen wollen. So sind entsprechend Tricks etwa in den Entwicklungskits von Salmonads und Baidu enthalten. Beide werden von vielen Apps verwendet, darunter auch von Samsungs Internet Browser. Google selbst drängt die App-Hersteller seit längerem dazu, die offizielle Advertising ID zu verwenden, die den Vorteil hat, dass sie von den Nutzern zurückgesetzt werden kann – im Gegensatz zur IMEI.

MAC

Ein weiterer eindeutiger Identifikator eines Smartphones ist die MAC-Adresse, die von der Netzwerkhardware geliefert wird. Entsprechend wird auch diese an sich über eine Berechtigung abgesichert. Doch auch hier haben einige Apps Wege gefunden, die Sperren des Betriebssystems auszuhebeln. Dabei bedient man sich ungeschützter Unix System Calls, um mithilfe von nativem Code Zugriff auf diese Information zu erhalten. Beispielhaft führen die Forscher dies an der Game Engine Unity aus, die von zahlreichen Android-Spielen genutzt wird. Diese liest auf dem beschriebenen Weg die MAC-Adresse aus, und überträgt sie dann an die eigenen Server. Ähnlich sieht es beim Zugriff auf die MAC-Adresse des WLAN-Routers aus, mit dem ein Gerät gerade verbunden ist. Auch dieser ist eigentlich über eine Berechtigung abgesichert, auch hier finden Apps Umwege. In diesem Fall über den sogenannten ARP Cache, der direkt über einen Zugriff auf /proc/net/arp möglich ist.

Standortverfolgung

Besonders problematisch ist ein anderer Trick, der zwar nicht ganz neu ist, aber nun erstmals in seiner Verbreitung quantifiziert wird. 70 der untersuchten Apps erfassen die Bewegungen der Nutzer ohne Zugriff auf die Standortberechtigung zu haben. Dabei greifen sie kurzerhand auf am Gerät gelagerte Fotos zu, und lesen die dort gespeicherten EXIF-Daten aus. Auch hierfür muss man zwar Zugriff auf die Storage-Berechtigung haben, diese wird aber wie erwähnt schnell von den Nutzern vergeben, da sie sehr verbreitet ist. Als Beispiel für so eine App nennen die Forscher Shutterfly, das sämtliche Location-Daten ausliest und an den eigenen Server überträgt. Was dann dort damit passiert, ist unklar. Shutterfly hat mehr als fünf Millionen Downloads. Solche Tricks sind übrigens auch kein Spezifikum von Android, Sicherheitsforscher haben schon vor einiger Zeit demonstriert, wie sich mithilfe von EXIF-Daten die Wege von iPhone-Nutzern ausspionieren lassen.

Android 10

Bei all dem betonen die Forscher, dass hinter diesen Methoden nicht notwendigerweise bösartige Absichten stehen. Trotzdem zeigt die Untersuchung aber natürlich echte Problembereiche auf. Allerdings auch welche, die Google ohnehin nur allzu bewusst sind. Immerhin werden praktisch alle dieser Tricks mit dem kommenden Android 10 auf die eine oder andere Weise ausgehebelt. Insofern könnte man die Studie auch als eine Art negative Betrachtung der Privacy-Verbesserungen in Android 10 verstehen. Gleichzeitig bleibt aber natürlich die Realität, dass es noch lange dauern wird, bis ein Großteil sämtlicher Android-Gerät mit der neuen Version laufen. Insofern dürften solche Methoden auch weiter gebräuchlich bleiben, so Google nicht auf anderem Weg – etwa über verschärfte Regeln für den Play Store – durchgreift. (Andreas Proschofsky, 9.7.2019)