Play Store Update ändert Berechtigungsmodell zum Schlechteren

Originalartikel von Veo Zhang, Mobile Threats Analyst

Einer der Gründe, warum mobile Betriebssysteme wie iOS und Android sicherer sind als die für den Desktop, liegt darin, dass sie sehr gute Kontrollmechanismen für die App-Berechtigungen enthalten. Jede App fordert vom Nutzer und dem Betriebssystem die Zustimmung zu den nötigen Berechtigungen, die theoretisch auf das Nötigste beschränkt sind.
Das hat zwar in der Praxis nicht immer funktioniert, denn die Entwickler neigen dazu, mehr Rechte zu verlangen, als sie brauchen. Auch sind die Nutzer nicht immer aufmerksam und erlauben alles. Dennoch, es gab das Berechtigungssystem und Nutzern, die mit den App-Berechtigungen sorgfältig umgingen, stand ein nützliches Tool dafür zur Verfügung.

Leider hat Google das Berechtigungsmodell von Android grundlegend verändert und die Sichtbarkeit sowie die Möglichkeiten der Handhabung für die Nutzer reduziert. Damit aber hat der Anbieter mehr Raum geschaffen für Entwickler bösartiger Apps, um potenziell riskante Berechtigungen hinzuzufügen.

Im neuen Update des Play Stores im Mai gab es ebenfalls Änderungen – nicht zum Besseren — an der Handhabung der Berechtigungen und Updates von Apps. Erforderte früher ein Update einer App weitere Berechtigungen, so musste der Nutzer wie bei einer neuen App explizit die Berechtigungen bestätigen. Das gibt es nicht mehr. Wenn die angeforderte Berechtigung in derselben Gruppe ist, wie eine, die der Nutzer bereits bestätigt hat, so muss die neue nicht auch ausdrücklich gewährt werden. Ist Auto-Update aktiviert, so kann die App im Hintergrund aktualisieren, ohne dass der Nutzer die Änderungen an den Berechtigungen mitbekommt.

Die Berechtigungsgruppen sind auf der Android Entwickler-Site dokumentiert. Die Gruppen sind nach Funktionalität geordnet. Beispielweise gehören alle Berechtigungen, die mit ortsbezogenen Services zu tun haben, in eine Gruppe, die für den Bildschirmhintergrund oder die für Storage in jeweils eine weitere. Es gibt insgesamt 31 Gruppen, von denen 13 ausdrücklich von Google in den FAQs diskutiert werden.

Die Änderungen sollen den Berechtigungsprozess verschlanken und für den Nutzer vereinfachen. Das bringt Probleme mit sich, denn es ist geradezu trivial, eine App zu bauen, die mit „unschuldigen“ Berechtigungen anfängt und später die Rechte hinzufügt, die für potenziell bösartiges Verhalten notwendig sind. Zum Beispiel sind die Berechtigungen für Flash und Audio/Video-Mitschnitte in derselben Gruppe. Eine Taschenlampen-App kann somit ganz einfach upgedatet werden, um Mitschnitte und Stalking-Aktivitäten durchzuführen, ohne dass der Nutzer die Änderungen bemerkt. Weitere Berechtigungen, die zu einer Gruppe gehören, sind:

  • Lesen von Inhalten von externen Speichern
  • Ändern oder Löschen des Inhalts von externen Speichern
  • Formatieren des externen Speichers
  • Montieren und Demuntieren externen Speichers

Mit der obigen Liste kann eine App, die das Recht zum Lesen von Inhalten aus externen Speicher hat, mit einem Update die Inhalte auch ändern oder löschen. Generell sind die Rechte zum Lesen und Schreiben zusammengepackt, sodass eine App, die das Leserecht für etwas hat, auch gleichzeitig den Inhalt ändern kann. Das aber widerspricht normalem Verhalten und dem Sinn von Berechtigungen.

Nutzer haben es nun sehr schwer, eine App über Berechtigungen zu kontrollieren, denn jede Kategorie ist so breit gefächert, dass auch die einfachste App mehrere Berechtigungen anfordert. Und auch App-Entwickler können ohne großen Aufwand in Form eines stillen Updates Berechtigungen in eine App einfügen, nachdem der Nutzer diese installiert hat

Das bedeutet, dass Nutzer auf andere Methoden für die Kontrolle des Verhaltens einer App vertrauen müssen, so etwa auf Google Bouncer und App Verification. Leider haben in der Vergangenheit beide Methoden bewiesen, dass sie zu umgehen sind. So können etwa Android-Apps bösartigen Code verbergen oder dynamisch von einem entfernten Server laden. Das aber erschwert das Entdecken von bösartigem Verhalten erheblich.

Anwender haben keine andere Wahl, als zu versuchen, die “Updates” zu verhindern, etwa über das Deaktivieren der Hintergrund Auto-Updates. Die Google Play-App informiert den Nutzer auch weiterhin darüber, wenn ein Update vorhanden ist, und dieser muss dann per Hand aktualisieren und die neuen Berechtigungen prüfen. Das kann mühsam werden.

Angesichts der derzeitigen Skepsis bezüglich der Wahrung der Privatsphäre ist es keine gute Idee, dem Google-Slogan „Trust Us“ zu folgen. Anwender benötigen die Tools, um selbst entscheiden zu können, wem sie trauen wollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*