Apps und ihre Berechtigungen

[email.filtering]

Wenn Du über die Unterschiede zwischen Windows (Phone) 8.1 und Android diskutieren willst, bist Du hier am falschen Ort. Dazu gibt's bei den weiteren Themen die Ecke sonstige Betriebssysteme und dort zumindest einen großen Thread zu Windows Phone.

Dass Android trotz des grundsätzlich schlauen Sandkastensystems von Java und dem gerne zitierten Linux-Unterbau (von dem in der Praxis kaum her als der Kernel, das Rechtesystem und ein klein bisschen Shell geblieben ist) nicht annähernd so "sicher" ist wie gerne getönt wird, liegt insbesondere an den zig tausend OS- und App-Varianten und der Software-Diktatur zahlreicher Stellen von Google, dem davon de facto abhängigen AOSP, den Geräteherstellern die sich wiederum den Netzbetreibern anbiedern usw. Jeder brodelt so gut es geht an einem eigenen, immer mehr verwässerten Süppchen, und zu viele Köche verderben bekanntlich den Brei.

So aber lassen wir diese Diskussion; bringt ja nichts.

 

[breter]

Bei vielen Apps muss man ja der Berechtigung "Fotos/Medien/Dateien" zustimmen. Heißt das, dass die App-Betreiber dann auch meine Fotos zugreifen können?

Und was bedeutet in dem Zusammenhang "USB-Speicherinhalte ändern oder löschen"? Können dann einfach Inhalte von mir gelöscht werden?

Und die Berechtigung "Kamera/Mikrofon - Bilder und Videos aufnehmen" ist ja auch ziemlich krass. Die Betreiber können dann doch z.B. Fotos mit der Frontkamera von mir schießen, oder?

 

[rihntrha]

Ja, ja und ja.

Wenn du den Hersteller nicht traust dann solltest du die App nicht installieren.

cu

 

[mrrbr]

Als Erstes wäre es interessant zu wissen, was für eine App das ist.

Zum Berechtigungssystem an sich schreibe ich jetzt nichts, denn das ist hier und u.A. hier: System Permissions | Android Developers zu genüge aufgeführt.

Nehmen wir mal als Beispiel einen Messenger:
- Hey, ich kann damit Fotos versenden. Also wird auch die Berechtigung für Bilder benötigt (Wenn dann noch MP3 u.Ä. dazukommt natürlich auch diese).

- Oh, die App kann sogar Dateien von der SD-Karte versenden und auch empfangen. Jetzt rate mal für was die Schreib-/Leseberechtigung benötigt wird.

- Man kann damit auch selbsgedrehte Videos und Sprachmemos versenden? Berechtigung für Kamera und Mikrofon ergibt dann auch einen Sinn, oder?

Bedenklich wird so etwas erst, wenn eine z.B. simple Taschenlampenapp, die nur die Foto-LED steuern soll, diese Rechte einfordert.Aber jeder Mensch hat ja die brain.apk, die man prima benutzen kann. Mit Hilfe "dieser App" kann man wunderbar schwarze Schafe unter all den vorhandenen Apps recht gut ausfiltern.

edit: Ach so ja: Nicht die Betreiber nehmen einfach so Bilder auf, sondern nur die NSA und der BND, denn die haben Interesse daran den Bürger komplett zu überwachen. Denn seit PRISM und Echelon reicht es ja schon aus, nur das Wort "Bombe" irgendwie zu erwähnen und die Men in Black stehen vor der Tür. Moment, es klingelt gerade........

 

[andife]

Nehmen wir mal als Beispiel einen Messenger:
- Hey, ich kann damit Fotos versenden. Also wird auch die Berechtigung für Bilder benötigt (Wenn dann noch MP3 u.Ä. dazukommt natürlich auch diese).

- Oh, die App kann sogar Dateien von der SD-Karte versenden und auch empfangen. Jetzt rate mal für was die Schreib-/Leseberechtigung benötigt wird.

- Man kann damit auch selbsgedrehte Videos und Sprachmemos versenden? Berechtigung für Kamera und Mikrofon ergibt dann auch einen Sinn, oder?

Diese Begründung erfüllt bzgl. Sicherheit nur die notwendige Bedingung, nicht die hinreichende, aber so wie du denken irgendwie alle
Nur weil ne App ne Datei auslesen und speichern kann, was i.R.d. App sinnvoll sein kann, heißt es nicht, dass die App sich nicht alle anderen Dateien für andere zwecke zieht. Als Entwickler müsste man nur ne Funktion mit scheinbar plausiblem Bedarf nach nem Recht einbauen und schon habens die meisten Leute als Beruhigungspille geschluckt. Leute, ihr macht euch doch mit der Begründung selbst nur was vor...
Ein transparentes Loggen des Datentransfers zwischen Phone und Server wäre die einzige Lösung.

 

[mrrbr]

Ehrlich? Das von Dir angesprochene "transparente Loggen" wäre natürlich wirklich das Ei des Kolumbus. Nur wer macht das? Und vor allem wie, ohne beträchtlichen Aufwand.

Problem an der Sache ist doch nun mal das: Wir leben mittlerweile in einer digitalen Welt. Informationsaustausch über alle möglichen Kanäle (dazu zählen auch lustige Katzenbilder und Einhörner, die Glitzer pupsen) ist heute Standard. Man ist in zig Netzwerken angemeldet. Effektiv kann doch wirklich keiner mehr zu 100% nachvollziehen, wie, wann und wo irgendwelche Daten abgegriffen werden.

Warum mache ich mir dann großartig Gedanken über eine App die ich auf meinem vernetzten Smartphone installiere? Ich mache es nur teilweise, denn ich muß leider aber auch gestehen, daß mir das eigentlich völlig am Allerwertesten vorbeigeht. Durch die heutigen Möglichkeiten im Alltag (Stichwort: Vernetzung der Behörden, Ärzte, Banken, Firmen usw.), bin ich mehr oder minder sowieso der "gläserne Bürger".

Da ist dann auch wieder der Punkt erreicht, wo ich, als User, wieder das Hirn einschalten muß und doch einfach zweimal überlege, was ich wo speichere und preisgebe. (Bestes Beispiel ist eine Facebookgruppe, die sich auf die Fahnen geschrieben hat, gegen die Datenkrake Google vorzugehen)

In der Theorie ist durch diese Berechtigungen einiges möglich. Theoretisch auch ferngesteuert Fotos vom User machen. Sollte dies so sein, würde aber diese App sehr schnell ein riesiges mediales Echo erleben. Aber eben kein Positives. Da kommt dann eben auch wieder die von mir angesprochene brain.apk in Spiel. Lesen, lesen, lesen (evtl. in Foren usw. nachfragen) und dann entscheiden, ob ich etwas installiere.

Die allerbeste Lösung wäre natürlich das Internet komplett abzuschalten und wieder Dosentelefone zu verwenden. Dann wären wir wieder alle sicher!

 

[andife]

hab den Post nur geschrieben, weil die Begründung mit der Prüfung auf Plausibilität der angefragten Rechte nichts weiter ist als ne Beruhigungspille. So ungefähr wie wenn man jemanden per remote Zugriff auf den Rechner gewährt, da er einem bei nem Problem helfen will. Dass er dein Problem löst heißt ja nicht, dass er sich nicht parallel auch was "Gutes" mit deinen Daten tut.

Dann lieber wie in deinem letzten Post ehrlich den Leuten sagen, dass man drauf scheißt und eh Hopfen und Malz verloren ist. Mittlerweile hab ich ebenfalls in vielen Bereichen meiner Daten resigniert, da es z.B. beim Adressbuch nix bringt, es möglichst privat zu halten, wenn alle im Freundeskreis alles freigeben.

 

[breter]

Ja, ja und ja.

Woher weißt du das? Bist du selber App-Entwickler?

Ich kann mir kaum vorstellen, dass ein App-Entwickler auf meine privat gespeicherten Fotos auf dem Smartphone zugreifen kann. Wer ist denn dann noch so bescheuert und lädt sich eine App aufs Handy? Unabhängig davon, ob es ein seriöser Anbieter ist oder nicht.

Vor allem die Datenschutzverbände würden hier doch laut aufschreien!!!

 

[rihntrha]

Hä? Lässt sich alles in der offiziellen Dokumentation nachlesen.
http://developer.android.com/index.html
Da braucht man kein Entwickler sein oder Zugriff auf geheimes Insiderwissen haben. Dort ist alles was Apps können sauber und detaliert beschrieben.
D.h. deine drei Fragen sind dort beantwortet, direkt vom Entwickler von Android.

Und wenn jemand z.B. eine Galerieapp programierert, dann braucht die App natürlich das Recht auf die Fotos zuzugreifen. Das ist erstmal nix schlimmes.

BTW: Wenn man selbst die Kontrolle übernehmen möchte dann muss man sich ein SmartPhone kaufen, bei dem der Hersteller den Besitzer nicht Bevormundundet (Knox flag, Bootloader look usw.). Und dann kann man per root/xposed/xprivacy die Rechte für Apps einschränken.

cu

 

[Thyrion]

Ich kann mir kaum vorstellen, dass ein App-Entwickler auf meine privat gespeicherten Fotos auf dem Smartphone zugreifen kann.

Stimmt, das kann der App-Entwickler nicht.
Aber die App kann es. Was die dann damit macht, liegt in der Hand des Entwicklers. So könnte er die App natürlich anweisen, die Daten zu klauen und irgendwo, wo er oder andere dran kommen, hochzuladen oder sie sonstwie zu verändern - nur die Berechtigung zu haben, heißt noch nicht, dass sie vollumfänglich genutzt wird.

 

[breter]

@Thyrion: Das finde ich schon ziemlich heftig. Zumal Menschen, die keine Ahnung von den Rechten haben, nicht explizit darauf hingewiesen werden. Es ist ja schon auf krasser Eingriff in die Privatsphäre, wenn man so einfach private Bilder von Smartphones ziehen kann.

Ein kleiner Hinweis wie es in der Playstore z.B. erfolgt, dass man die Berechtigung für Fotos etc. vergibt, reicht meiner Meinung nach nicht aus. Oder sind die Details dazu nochmal in den AGB geklärt, wie App-Entwickler genau auf die Daten zugreifen können?

Datenschutz ist in Deutschland ja ein großes Thema. Von Unternehmen wird auf den Internetseiten ja auch verlangt, dass umfangreiche Datenschutzerklärungen auffindbar sein müssen.

 

[Thyrion]

Dann hilft nur eins: Schreib deine Apps selber...

Aber: Der Anwender wird doch informiert. Vor der App-Installation wird doch aufgezeigt, welche Rechte die App haben möchte und in einer kurzen Beschreibung steht da auch dabei, was es damit auf sich hat. Viele Entwickler schreiben sogar detailiert in die Beschreibung oder auf ihrer Produktseite, wieso die App genau dieses Recht verlangt und was sie damit machen - ob das dann vollständig ist, ist eine andere Sache.



Aber lass mich mal eine provokante Frage stellen: Wieso traust du Windows? Oder MacOS? Oder welchem Betriebssystem auch immer auf deinem PC vorhanden ist?

Dort sind die Möglichkeiten noch viel größer und du wirst nicht vor der Installation gefragt/informiert...

 

[jna]

breter, wie möchtest du das separieren? Entweder eine App darf auf Daten zugreifen, oder sie darf es nicht. Wenn eine App Rechte hat, auf die Speicherkarte und das Internet zuzugreifen, dann kann sie technisch gesehen diesen Zugriff missbrauchen und den Inhalt der Speicherkarte versenden. Es könnte aber auch nur sein, dass der Programmierer sowohl Bilder von Flickr und lokale Bilder anzeigen will. Das ist technisch über ein Berechtigungssystem einfach nicht zu trennen. Was man machen kann, ist Netzwerktraffic zu sniffen und zu analysieren. Viel Spaß dabei. Oder aber dem Anbieter der App zu vertrauen.

Übrigens: Ein entsprechendes Rechtesystem gibt es an deinem Windows-PC nicht einmal. Dort darf ein Programm das einfach.

 

[DAD214]

@breter
Das weiß man doch mittlerweile gerade bei Kostenlose Apps bezahlst du mit deinen Daten.
Entweder man nimmt es hin oder man sperrt die Rechte oder Installiert das nicht.
Im Playstor bekommt man die Rechte doch angezeigt bevor man was anklickt zum Installieren.

Der ursprüngliche Beitrag von 09:09 Uhr wurde um 09:11 Uhr ergänzt:

Aber lass mich mal eine provokante Frage stellen: Wieso traust du Windows? Oder MacOS? Oder welchem Betriebssystem auch immer auf deinem PC vorhanden ist?

auf dem PC lasse ich auch nicht alles ins Inet

 

[Thyrion]

auf dem PC lasse ich auch nicht alles ins Inet

Und das machst du genau wie? Außer erst gar keine Netzverbindung aufzubauen gibt es keinen sicheren Schutz - wenn man mal mit dem Misstrauen anfängt!

Die Entwickler der Firewall könnten böse Absichten hegen. Oder die des Betriebssystems, hey, immerhin darf das auf alle(!) Dateien lesend/schreibend/ändernd/löschend zugreifen! Oder auch die Webcam! Oder das Mikro! Oder Tastatur - meine Passwörter werden sicher abgegriffen!


(das ist natürlich überspitzt, aber ich hoffe es wird in etwa klar, worauf ich hinaus möchte)

 

[DAD214]

Zu meinem Firewall habe ich schon vertrauen.
Und ich habe auch über einen App mein Router im Auge um zu sehen welcher PC oder Gerät Traffic verursacht.

Von mir aus kannst du auch der Meinung sein ein Firewall Bringt nichts
ich fahre meine PC´s schon seit Win 98 nicht mehr ohne Firewall und das wird sich auch so schnell nicht ändern.

 

[Aaskereija]

Firewall ist im grunde das effektivste was man überhaupt machen kann. Hab auch ne Firewall geschaltet am PC sowie am Handy und in kombination mit xPrivacy das alles verschleiert kann da auch nix mehr "schief gehen"

 

[Lion13]

Zu meinem Firewall habe ich schon vertrauen.

Firewall ist im grunde das effektivste was man überhaupt machen kann.

Jein...

Das gilt wenn überhaupt für eine sog. Hardware-Firewall (oder auch Netzwerk-Firewall bzw. externe Firewall), wie sie Firmen normalerweise einsetzen. Eine reine Software-Firewall auf dem zu schützenden Endgerät (Smartphone, Tablet, PC etc.) wiegt viele User in trügerischer Sicherheit - denn wie viele Tests zeigen, können sie entweder umgangen und/oder gar schlichtweg abgeschaltet werden. Nicht wenige Security-Suites der diversen Hersteller sind entweder gar nicht oder nur rudimentär selbst geschützt.

Für eine Kontrolle des ein- und/oder ausgehenden Netzwerkverkehrs mag eine solche "Firewall" nützlich sein, als Teil eines Sicherheitskonzepts eher nicht.

BTW: Bewegen wir uns hier nicht langsam am Rande oder gar außerhalb des ursprünglichen Themas dieses Threads?

 

[magicw]

Der Schlußsatz von Lion13 trifft den Punkt genau - bitte wieder auf Apps und deren Berechtigungen zurückschwenken.

 

[jeanrizzZle]

Hallo!
Ich habe zwei Fragen zu zwei Screenshots:

1. Könnte, rein theoretisch, die App von dem Screenshot anhand ihrer Berechtigungen (kein Internetzugriff lt. Berechtigungen) die Daten, auf die sie zugreifen darf, ohne mein Wissen versenden?
2. Was genau meinen die WLAN-Einstellungen damit wenn sie davon reden, dass auch ohne aktiviertes WiFi genannte Dienste WiFi nutzen dürfen?

Anbei mal die Screenshots: