Apps und ihre Berechtigungen

[gado]

Wie das erkannt wird weiß ich nicht.

Oder scheitert es einfach daran, dass die App auf dem Emulator/Handy landet und nicht auf dem PC. xD

Nein?!
Du bekommst ja eine APK, die wird nur halt beim Upload abgewiesen. Siehe die FAQ Seite, die ich gepostet habe.

 

[Mirakulix]

so viel zum Thema Rechte und Sicherheit von Android

Kontroverse
Frühe Versionen von Android ließen sich nur in Verbindung mit einem Google-Konto verwenden. Seit Version 1.5 lässt sich Android auch ohne Gmail-Konto nutzen.
Google hat die Möglichkeit, Software ohne Nachfrage des Nutzers zu löschen und zu installieren. Mit dem Dienst Google Talk besteht eine dauerhafte Verbindung zwischen dem Betriebssystem und den Google-Servern. Über diese Verbindung können die Applikationen via Fernzugriff ohne Wissen des Nutzers gelöscht und installiert werden. Falls Google eine kostenpflichtige Software löscht, erhält der Kunde den Kaufpreis zurück. Im Juni 2010 hat Google erstmals Anwendungen auf den Endgeräten der Anwender durch einen entfernten Zugriff gelöscht, da ein Sicherheitsexperte demonstrieren wollte, wie einfach schadhafter Code auf Android-Smartphones verbreitet werden kann. Auch bei Geräten wie beispielsweise dem Apple iPhone oder dem Amazon Kindle besteht die Möglichkeit, über einen Fernzugriff Daten auf dem Endgerät zu löschen. Jedoch ist nicht bekannt, dass Apple oder Amazon auch eine Installationsmöglichkeit wie Google besitzen.

Quelle: http://de.wikipedia.org/wiki/Android_%28Betriebssystem%29#Kontroverse

 

[kolibree]

Ich finds nich schlimm. Google vertrau ich da ^^
Sollten die unberechtigter weise ne App löschen werden sie sichs eh bei sehr vielen Usern verscherzt haben. Von daher hab ich keine bedenken, dass die das in irgendeiner Weise ausnutzen werden

 

[Kranki]

so viel zum Thema Rechte und Sicherheit von Android

Quelle: Android (Betriebssystem) ? Wikipedia

Was du da zitierst, ist in Sachen Sicherheit ein Bonus...

 

[fant0mas]

Da bin ich auch Kranki´s Meinung.

Natürlich ist es auf den ersten Blick seltsam zu wissen, dass da jemand per Remote was auf meinem Telefon machen kann.
Aber jeder der nicht unter dieser BILD-Paranoia leidet, denkt sich doch sofort im 2. Schritt: "Was kann denn Google schon auf meinem Telefon für ein Interesse haben, da Unfug zu treiben?"
Diese Funktion ist dafür gedacht, Schad-Software aus der Distanz zu entfernen... weil eben nicht jeder User das von alleine macht, überlegt doch mal wieviele Leute ihr kennt mit Virenverseuchten PCs, die es unter Umständen sogar wissen aber nichts dagegen tun.

Und in dem Fall ist es doch auch so: Die meisten Leute halten sich für so verflucht wichtig, dass sie sich in ihrem kleinen egozentrierten Universum gar nicht vorstellen können, dass sich ein Multi-Milliarden-Dollar - Konzern kein bisschen für sie interessiert, oder was sie auf ihrem PC / Mac / Telefon für kleine schmutzige Geheimnisse haben...

Ganz ehrlich, Leute: Datenschutz/Privatsphäre so als allgemeines Prinzip - schön und gut, bin ich vollkommen d´accord!
Aber vieles ist einfach nur eine von den Medien und Leuten mit gefährlichem Halbwissen geschürte Massenhalluzination, dass hinter jeder Ecke böse Hacker lauern, die euch das Telefon für 500 Euro kaputtmachen wollen, oder eure Daten klauen um sie dann für Tausende von Euro zu verkaufen.

Macht euch keine Illusionen: wenn jemand diese Daten haben will, hat er sie schon längst. Ich habe beruflich viel mit einem Telefonbuch-Verlag zu tun, ihr würdet euch gruseln wenn ihr wüsstet wie einfach man an Adresse, Telefonnummer, vollständige Namen (inkl. Mädchennamen), Geburtstage, Anzahl der Personen im Haushalt, Berufe etc. kommt. Mehr steckt in euren Kontaktinformationen auch nicht drin.
Und in den Gemeindeverwaltungen sitzen teilweise auch nur kleine Beamte die keine Ahnung haben und sich von einem Anzug und einer gefälschten Visitenkarte beeindrucken lassen, und ggf. unbefugt Einsicht in Meldedaten etc. gewähren. Passiert ständig, aber über sowas berichtet eben keine c`t Zeitschrift.

Und diese Panikmache ist auch historisch vollkommen normal, da brauchen wir uns auch nicht besonders vorkommen... Fotografie stiehlt einem die Seele, im Fernseher sitzen kleine Menschen, Telefonie ist Hexenwerk, und Volkszählungen sind oppressive Mittel der tyrannischen Kapitalisten.

Jede "neue" Technologie macht Angst, bis die Menschen lernen, damit umzugehen. So auch hier. Kopf benutzen, nicht jeden Mist installieren ohne sich darüber zu informieren. Immer wieder erstaunlich ohnehin, wieviele Leute ein "Googlephone" nutzen, und nicht wissen wie man Informationen aus einer Suchmaschine bekommt - denn auch da kann man mal kurz mit weniger als 5min Zeitaufwand herausbekommen, ob eine App vertrauenswürdig ist.
Und so einer App gebe ich auch gern mal das Recht, auf meine Kontakte zuzugreifen - was will der Dev schon damit machen, meine versoffenen Metaller-Kumpels zum Bier einladen?! Die würden sich freuen!!

 

[Kranki]

Da braucht man nichts fälschen. Meldedaten kann man einfach kaufen. Ganz regulär. Der Staat hat nicht ansatzweise den Datenschutz, den Politiker von Unternehmen gern publikumswirksam fordern.

Sent from my Nexus One

 

[Fr4gg0r]

Wie das erkannt wird weiß ich nicht.

Nein?!
Du bekommst ja eine APK, die wird nur halt beim Upload abgewiesen. Siehe die FAQ Seite, die ich gepostet habe.

Das erste was ich tun würde, wäre ein Blick ins Manifest.
Eventuell findet sich da was auffälliges

 

[gado]

Das mit dem Manifest kannst du noch so oft sagen.

Ich denke nicht, dass das mal eben umgangen werden kann. Aber wenn du dich da auskennst, kannst du das mal eben checken.

 

[magicandroid]

Natürlich ist es auf den ersten Blick seltsam zu wissen, dass da jemand per Remote was auf meinem Telefon machen kann.

Das finde ich erstmal gar nicht schlimm. Ganz im Gegenteil: Wenn ich so vor Schaden bewahrt werde, hat es ja etwas gutes. Dafür unterschreibe ich aber auch beim Kauf des Telefones oder nicke es bei der ersten Anmeldung ab oder wie auch immer: Ich werde aktiv. (Hat nichts damit zu tun, dass ich auch zum Aktivwerden mehr oder weniger legal animiert worden sein kann.)

Allerdings: Jede Funktion, die vorhanden ist, kann auch mal durch findige Leute missbraucht werden. Auch wenn das Konzept diesen Zugriff auf den ersten Blick unterbindet, heißt das noch lange nicht, dass dem in der Praxis auch wirklich so ist.

Daher bin ich für Datenvermeidung. Zugriffe, die ich nicht für nötig erachte, möchte ich deshalb der App entziehen. Wenn sie dann nicht mehr läuft, kann ich entscheiden, ob ich die Rechte ausweite oder die App lösche.

Wenn ich so ein Telefon kaufe, muss ich mich eigentlich bereits informiert haben, was ich preisgebe. Aber ich gebe auch Daten meiner Kontakte preis. Für die kann ich nichts unterschreiben! Das bedeutet, im Zweifelsfall darf ich für Dinge gerade stehen, die mir nicht bekannt oder bewusst waren. Dummheit schützt vor Strafe nicht.

Wenn ich sehe, wieviele Apps nichts oder halbherzig verschlüsseln oder gar essentielle Zertifikatsprüfungen nicht durchführen, frage ich mich, welche Pfuscher da am Werk waren. Die kleine Liste in der aktuellen c't ist da nur der Gipfel des Eisberges.

Nachdem wohl die meisten für alles das gleiche Passwort verwenden, bin ich mal gespannt auf die Reaktionen, wenn die ersten großangelegten Man-In-The-Middle-Attacken auf Smartphones gelaufen sind. Offene WLANs an Bahnhöfen und Flughäfen sind doch eine Einladung.

Aber jeder der nicht unter dieser BILD-Paranoia leidet, denkt sich doch sofort im 2. Schritt: "Was kann denn Google schon auf meinem Telefon für ein Interesse haben, da Unfug zu treiben?"

Hätten sich die Medien nicht der Sicherheit angenommen, wären die Sozialen Netzwerke wohl immer noch offen wie ein Scheunentor. Egal, ob sie sachlich richtig berichten, schaffen sie bei Otto Normalnutzer erst mal den Denkanstoß.

Mehr steckt in euren Kontaktinformationen auch nicht drin.

Wie schon gesagt. Es geht nicht um meine Daten. Es geht um die meiner Kontakte. Mit diesen muss ich verantwortungsvoll umgehen. Da nützt es auch nicht, zu sagen "Macht ja nicht mal der Staat." Was ich selbst nicht befolge, kann ich von niemandem einfordern.

Und in den Gemeindeverwaltungen sitzen teilweise auch nur kleine Beamte die keine Ahnung haben und sich von einem Anzug und einer gefälschten Visitenkarte beeindrucken lassen

Schlimm genug, aber noch lange kein Grund, deshalb den Kopf in den Sand zu stecken. Vielmehr müssen diese kleinen Beamten geschult werden. Es muss Druck aufgebaut werden, damit sie nicht mehr zum Büroschlaf kommen.

Jede "neue" Technologie macht Angst, bis die Menschen lernen, damit umzugehen.

Ich habe den Eindruck, dass sich die allermeisten gar keine Gedanken machen und es einfach nutzen.

So auch hier. Kopf benutzen, nicht jeden Mist installieren ohne sich darüber zu informieren.

Volle Zustimmung. Aber nochmal: Ich möchte zusätzlich Rechte einschränken können.

 

[Georgius]

Volle Zustimmung. Aber nochmal: Ich möchte zusätzlich Rechte einschränken können.

Und was bringt Dir das? Wenn ich etwas böses will zB. mit SMS schreibe ich ein SMS-Programm und jedesmal wenn eine SMS versende versende ich noch eine hochpreisige mit. Wie willst Du das verhindern?

 

[gado]

Er denkt nur an die Apps, die z.B keine Rechte bräuchten, sie aber dennoch haben. Er vergisst dabei aber völlig, dass er auch Apps hat, die berechtigte Rechte haben und diese trotzdem ausnutzen könnten.

Diese zusätzliche Rechte einschränken bringt genau gar nichts. Das ist einfach wieder den Benutzer in falsche Sicherheit wiegen.

Aber jeder hat da eine eigene Meinung. Die Entwickler von Android auch. Ich teile die Meinung der Entwickler.

 

[fant0mas]

@magicandroid:

die Rolle der Medien im Fall Facebook ist sicher mal ein Paradebeispiel dafür, dass es auch "Erfolg" haben kann, Panik zu schüren.
Ich war und bin der Meinung, dass jeder, der VON ANFANG AN vorsichtig mit seinen Daten umgegangen ist, da NIE etwas zu befürchten hatte. Du hast es selbst gesagt, DatenVERMEIDUNG ist im Zweifelsfall die Goldene Mitte. FB ist z.B. die einzige Community, wo ich mit meinem richtigen Namen zu finden bin - das war auch absicht so, aus beruflichen Gründen und weil mich von meinen alten Freunden niemand mehr gefunden hatte nach 2 Umzügen und Tel.-/Email Wechseln. Ausser Foto und Namen konnte man bei mir da aber auch noch nie etwas sehen wenn man nicht auf meiner Liste war. Das ging alles schon von Anfang an, das schlimme war (und ist) nur, dass diese Funktionen per default DEaktiviert sind!

und sicher müssen Leute in die Verantwortung genommen werden, die private Daten verwalten, ob jetzt der Meldebeamte oder der Endnutzer mit einem Telefonbuch voll mit Daten von Dritten.

aber -schimpf mich Pessimist, da steh ich drauf- die Erfahrung zeigt doch einfach, dass der weitaus größte Teil der Bevölkerung diese Verantwortung gar nicht WILL. ist viel zu anstrengend. deshalb verkauft sich auch das iPhone etc. so gut, man holt es aus der Schachtel, schaltet es an und es läuft. man kann nicht viel basteln, dafür wenig kaputt machen.

Android Phones sind einfach meiner Meinung nach nicht für die "breite" Öffentlichkeit gedacht! Damit muss man sich beschäftigen, wissen was man tut, selbst Verantwortung übernehmen. Aber das ist aus der Werbung eben heraus nicht ersichtlich (was sicher ein Vorwurf wäre den ich erheben würde), und deshalb haben wir auch hier im Forum Leute die lieber meckern oder umtauschen als einfach mal richtig zu lesen/interpretieren oder im Zweifelsfall selbst Hand anzulegen.

zu den Apps: ich fände es auch gut, wenn man pro App entscheiden könnte, ob man ihnen dieses oder jene Recht dann doch nicht gewährt - allerdings müsste man auch hier immer wissen, welche Funktionen der App dann darunter leiden könnten.
also hier wieder eher was für die technisch versierte Bastler-Fraktion.
ich kann hier aber auch gado´s Standpunkt nachvollziehen, ob das so sinnvoll ist kann wohl nur jemand der Ahnung von Android Programmierung hat beurteilen.

Seht es ein - KOMFORTABEL wird ein Android-Telefon wohl nie sein. und SICHER auch nicht wirklich (aber was ist schon sicher!), dafür haben wir eben ein paar mehr Möglichkeiten als Steve´s Schafherde.

 

[Nikon]

Das funktioniert nicht. In einem heutigen Handy steckt ein Gigahertzprozessor und im Extremfall eine umts Verbindung mit mehreren Megabit. Wenn die "bösen Appbauer" wüssten das die Rechte nachträglich beschnitten werden können, richten Sie maximalen Schaden in den ersten paar Sekunden an. Soll heissen, man startet die App, es gibt einen kurzen Blankscreen von 1 Sekunde und die Sache ist gegessen. Kontakt ausgelesen, verschickt und 2 mio newsletter auf alle e-mail Adressen deiner Kontakte abonniert.

So ein System würde also nur funktionieren, wenn erstmal keinerlei Rechte gegeben wären. Der Nutzer müsste vor dem Start also erstmal noch jedes Recht einzeln abnicken ohne die App auch nur einmal gesehen zu haben. Das ist für den Laien nicht zumutbar. Vorallem weil dann die Hälfte aller Apps beim Laien nicht ordentlich funktionieren würde. Deswegen nickt man alle Rechte ab. Bei der Installation.

Eine Sache wegen dem Telefonstatus. Ich weiss es nicht 100%ig genau aber benötigt mach dieses Recht nicht, damit eine App ordentlich in den Pausemodus gehen kann wenn ein eingehender Anruf kommt? Ich erwarte doch, dass jede App auf einem Telefon ordentlich reagiert wenn ein Anruf kommt. Da macht dieses Recht schon irgendwie Sinn.

 

[gado]

Man könnte das noch durch Pop-Ups lösen, aber dann wird der User so oft gefragt, dass der entnervt aufgibt. Ist dann schlimmer als Werbung. Was daraus wird sieht man an Vistas UAC. Das ist einfach am Benutzer vorbeientwickelt.

 

[magicandroid]

Wenn ich etwas böses will zB. mit SMS schreibe ich ein SMS-Programm und jedesmal wenn eine SMS versende versende ich noch eine hochpreisige mit. Wie willst Du das verhindern?

Das bedeutet also, wir brauchen keine Sicherheit. Alles rund um Sandboxing, Firewalls, Virenscanner, Verschlüsselung etc. ist unnötig. Es reicht: Augen aufhalten und Aufmerksam sein?

Ich habe niemals behauptet, dass 100% gibt. Aber was möglich ist, sollte moderne Software machen. Und genau da kreide ich großen Teilen der Entwicklern Pfusch an.

 

[Nikon]

Eben nicht alles was möglich sonder alles was sinnvoll ist. Da liegt der Punkt.

Irgendwelche Firewalls oder selbstkonfigurierbare Rechtelösungen sind an dem 08/15 Anwender vorbeientwickelt. Sandboxsysteme natürlich nicht weil Sie viel Sicherheit geben und nichtmal vom Anwender bemerkt werden.

 

[Fr4gg0r]

Da ihr alle über die Rechte von Apps diskutiert...
es ist möglich diese zu beschneiden: app
*Werbung mach*

Das mit dem Manifest kannst du noch so oft sagen.

Ich denke nicht, dass das mal eben umgangen werden kann. Aber wenn du dich da auskennst, kannst du das mal eben checken.

Ich habe leider keinen Market Account.
Sonst würde ich sagen her mit der .apk und ich probiers aus
Edit: Ich vermute nun doch eher, es liegt an der Signatur.
Also mit apktool dekompilieren, kompilieren, neusignen.

 

[B.D.1:]

Da bin ich auch Kranki´s Meinung.

Natürlich ist es auf den ersten Blick seltsam zu wissen, dass da jemand per Remote was auf meinem Telefon machen kann.
Aber jeder der nicht unter dieser BILD-Paranoia leidet, denkt sich doch sofort im 2. Schritt: "Was kann denn Google schon auf meinem Telefon für ein Interesse haben, da Unfug zu treiben?"
Diese Funktion ist dafür gedacht, Schad-Software aus der Distanz zu entfernen... weil eben nicht jeder User das von alleine macht, überlegt doch mal wieviele Leute ihr kennt mit Virenverseuchten PCs, die es unter Umständen sogar wissen aber nichts dagegen tun.

Und in dem Fall ist es doch auch so: Die meisten Leute halten sich für so verflucht wichtig, dass sie sich in ihrem kleinen egozentrierten Universum gar nicht vorstellen können, dass sich ein Multi-Milliarden-Dollar - Konzern kein bisschen für sie interessiert, oder was sie auf ihrem PC / Mac / Telefon für kleine schmutzige Geheimnisse haben...

Ganz ehrlich, Leute: Datenschutz/Privatsphäre so als allgemeines Prinzip - schön und gut, bin ich vollkommen d´accord!
Aber vieles ist einfach nur eine von den Medien und Leuten mit gefährlichem Halbwissen geschürte Massenhalluzination, dass hinter jeder Ecke böse Hacker lauern, die euch das Telefon für 500 Euro kaputtmachen wollen, oder eure Daten klauen um sie dann für Tausende von Euro zu verkaufen.

Macht euch keine Illusionen: wenn jemand diese Daten haben will, hat er sie schon längst. Ich habe beruflich viel mit einem Telefonbuch-Verlag zu tun, ihr würdet euch gruseln wenn ihr wüsstet wie einfach man an Adresse, Telefonnummer, vollständige Namen (inkl. Mädchennamen), Geburtstage, Anzahl der Personen im Haushalt, Berufe etc. kommt. Mehr steckt in euren Kontaktinformationen auch nicht drin.
Und in den Gemeindeverwaltungen sitzen teilweise auch nur kleine Beamte die keine Ahnung haben und sich von einem Anzug und einer gefälschten Visitenkarte beeindrucken lassen, und ggf. unbefugt Einsicht in Meldedaten etc. gewähren. Passiert ständig, aber über sowas berichtet eben keine c`t Zeitschrift.

Und diese Panikmache ist auch historisch vollkommen normal, da brauchen wir uns auch nicht besonders vorkommen... Fotografie stiehlt einem die Seele, im Fernseher sitzen kleine Menschen, Telefonie ist Hexenwerk, und Volkszählungen sind oppressive Mittel der tyrannischen Kapitalisten.

Jede "neue" Technologie macht Angst, bis die Menschen lernen, damit umzugehen. So auch hier. Kopf benutzen, nicht jeden Mist installieren ohne sich darüber zu informieren. Immer wieder erstaunlich ohnehin, wieviele Leute ein "Googlephone" nutzen, und nicht wissen wie man Informationen aus einer Suchmaschine bekommt - denn auch da kann man mal kurz mit weniger als 5min Zeitaufwand herausbekommen, ob eine App vertrauenswürdig ist.
Und so einer App gebe ich auch gern mal das Recht, auf meine Kontakte zuzugreifen - was will der Dev schon damit machen, meine versoffenen Metaller-Kumpels zum Bier einladen?! Die würden sich freuen!!

der ist gut...so seh ich das auch.
In meinen Kontakten steht eh nur meist die Nummer und der Name und der meistens nur in Kurzform oder so

 

[mußik_re_89]

Viele Argumente hier erinnern mich ein bisschen an die Argumentation, die bestimmte selbsternannte "Eliten" gerne benutzen:

"Das Volk ist sowieso zu dumm um mit zu Entscheiden"
"Wer nichts zu verbergen hat, der braucht sich nicht fürchten"

Macht euch keine Illusionen: wenn jemand diese Daten haben will, hat er sie schon längst. Ich habe beruflich viel mit einem Telefonbuch-Verlag zu tun, ihr würdet euch gruseln wenn ihr wüsstet wie einfach man an Adresse, Telefonnummer, vollständige Namen (inkl. Mädchennamen), Geburtstage, Anzahl der Personen im Haushalt, Berufe etc. kommt. Mehr steckt in euren Kontaktinformationen auch nicht drin.

Da frage ich mich wirklich wer hier Halbwissen propagiert und, ohne Ahnung von der Materie zu haben, Sachen verharmlost.
Also nur, weil irgendein Telefonbuch meine Tel-Nummer und meinen Vor- und Nachnamen kennt darf jetzt auch jedes Werbeunternehmen meine Daten inklusive meiner sozialen Kontakte, meiner GPS-Bewegungsdaten, meiner Telefoniergewohnheiten und mein Internet Surfverhalten analysieren?

Das Wort "analysieren" macht hier einen gigantischen Unterschied zu nur "besitzen/haben". Diese ganzen Daten verknüpft sagen nämlich viel mehr aus, als das, was man in einem Telefonbuch finden kann.

Wie man mit dem Thema "Sicherheit" umgeht ist sicher ein sehr vielschichtiges und schwieriges Thema. Dein Beitrag ist aber von der Sorte: Ist eh alles egal. Die haben eh alles und ich hab eh nix zu verbergen.
Furchtbar sowas.

Im Übrigen war einer der Kritikpunkte an dem Remote-Zugriff von Google der, dass Google nicht nur Löschen, sondern auch Installieren kann. Bei Apple ist mir nicht bekannt ob das möglich ist.
Hier besteht jedenfall potentiell ein riesiges Sicherheitsmanko...
Das verhält sich genau wie mit Apps, die sich Rechte herausnehmen, die sie garnicht brauchen. Nachher wird soein App garnicht von dem Programmierer, sondern von dritten ausgenutzt.

Ich persönlich mag übrigens Windows Vista gerade wegen der Abfragen! (Schreibe auch gerade von einem Vista-Laptop)
Es gibt wie gesagt kein Patentrezept für Sicherheit. Ein hochgradig komplexes Thema, dass aber immer diskutiert werden muss!

mußik

 

[D!ablo]

Nennt mich paranoid oder sicherheitsbewusst ich finde das ganze Thema wirklich sehr interessant und hab mir die sieben Seiten wie im Rausch durchgelesen..

Mich interessiert noch der Punkt den Nikon schon angesprochen hat das Apps die den Telefon Status lesen möchten, benötigen damit Anrufe eingehen können während die Anwendung läuft. Das klingt doch eigentlich sehr plausibel.

Los Leute schreibt mehr ..