Schadhafte App im Market?

[Kranki]

uniquely_code= [I]IMEI[/I]
device_info=
device_id= [I]IMEI[/I]
device_software_version=00
build_board=mahimahi
build_brand=google
build_device=passion
build_display=FRF91
build_fingerprint=google/passion/passion/mahimahi:2.2/FRF91/43546:user/release-keys
build_model=Nexus+One
build_product=passion
build_tags=release-keys
build_time=1280016203000
build_user=ctso
build_type=userdebug
build_id=FRF91
build_host=fembot
build_version_release=2.2
build_version_sdk_int=8
build_version_incremental=eng.ctso.20100724.235942
density=1.5
height_pixels=800
scaled_density=1.5%
width_pixels=480
xdpi=254.0
ydpi=254.0
line1_number= [I]Telefonnummer[/I]
network_country_iso=de
network_operator=26203
network_operator_name=blau
network_type=3
phone_type=1
sim_country_iso=de
sim_operator=26203
sim_operator_name=blau
sim_serial_number= [I]SIM Seriennummer[/I]
sim_state=5
subscriber_id= [I]Subscriber ID, was auch immer[/I]
voice_mail_number=%2B491779911
imsi_mcc=262
imsi_mnc=3
total_mem=200388608

So ungefähr muss man sich das vorstellen, paar Nummern hab ich noch rausgenommen.

 

[savage]

Wunder mich, dass das noch keiner was zu gesagt hat. Die Typen von Lockup sind ja auf diese schadhafte App gestossen weil sie grad selbst eine Analyse drüber machen welche Apps auf dem iPhone und Android Daten tracken.
Dazu haben sie auch eine Grafik veröffentlicht.
Auf dem ersten Blick sieht das iPhone ja etwas "bedrohter" von 3rd Party Apps aus oder nicht?

 

[droido]

wie kann man sich davor schützen?
gibt es schon eine app die wie eine firewall agiert und jedesmal wen eine app nach hause telefoniert diese nach anfrage blockiert?

 

[Kranki]

wie kann man sich davor schützen?
gibt es schon eine app die wie eine firewall agiert und jedesmal wen eine app nach hause telefoniert diese nach anfrage blockiert?

Gibt es, bringt aber nichts. Datenverkehr nach außen gehört zum normalen Verhalten der App.

 

[UncannyValley]

wie kann man sich davor schützen?
gibt es schon eine app die wie eine firewall agiert und jedesmal wen eine app nach hause telefoniert diese nach anfrage blockiert?

einfach keine Apps installieren die gleichzeitig Berechtigungen für Internet und sensible Daten haben.

 

[droido]

Gibt es, bringt aber nichts. Datenverkehr nach außen gehört zum normalen Verhalten der App.

verstehe ich jetzt nicht

 

[mccrain]

Wollte mir grad die App "Backgrounds" von Stylem Media runterladen. Bei der Installation steht da Zugriff auf Adressdaten . Ist das jetzt schlimm?

WENN es tatsächlich so ist, sollte Google die entsprechende App per Fernzugriff löschen.

Zwei Beiträge, die mich wieder mal zum Staunen bringen. Ist es wirklich so schwer, für sich selbst Entscheidungen zu treffen, anstatt leichtgläubig/"unwissend" Programme zu installieren oder nach einer "Obrigkeit" zu rufen? Wir freuen uns über Androids Offenheit im Gegensatz zu Apple und schreien nach Fernzugriff? Es gibt KEINE 100% Sicherheit!
Sicherlich muss wirkliche Schadsoftware entfernt werden aber doch nicht solche Apps. Nutzer die aus Tauschbörsen Bank-Apps sich besorgen, ist auch nicht zu helfen!

Und grundlos zeigt der Market vor dem Download nicht die Zugangsberechtigungen an. Als kritischer Mensch überlege ich mir doch wozu das Programm die Daten benötigt und nehme im Zweifelsfall eine alternative oder keine App? Ich gebe doch auch nicht beim Discounter um die Ecke meine Erlaubnis mein Adressbuch abzuschreiben aber dafür den Zugriff auf meine EC-Karte. Einem Grafiker, der mir einen Stammbaum erstellt gebe ich die persönlichen Daten, dafür zahle ich bei ihm aber in bar!

Nachtrag: Bin gerade über eine alternative Tastatur-App gestoßen, die u.a. Zugriff auf die SMS, MMS und Internet hat. Im besten Fall passiert nichts mit den Daten, im Schlechtesten ist jeder Keylogger am PC dagegen veraltet. Warum umständlich Keylogger programmieren, auf den PC heimlich schleusen und Antivirenprogramme austricksen wenn man mit einer internetfähigen Tastatur-App, die der Nutzer freiwillig installiert, viel leichter ans Ziel kommt.

 

[Rennschwein]

Es wäre gut, unabhängig von dem Persilschein den man jeder App bei der Installation ausstellen 'muss', also über das was sie darf und nicht, auch alternativ (Entscheidung des Users) bei bestimmten Apps auch jeden konkreten Zugriff selbst dann im Betrieb nochmal abnicken zu können(müssen). Dann hätte man eher eine Kontrolle darüber was eine Anwendung macht.

Versteht mich nicht falsch. Wenn eine wallpaper App auf persönliche Daten zugreifen will ist das bei der Installation schon recht offensichtlich (> Bewertung im Market hinterlassen + Meldung). Aber so hätte man wenn man es denn wollte noch ein wenig mehr Kontrolle da sich ja nicht jede Anwendung grundsätzlich nur 'böse' Verhalten muss.

 

[Kranki]

Nachtrag: Bin gerade über eine alternative Tastatur-App gestoßen, die u.a. Zugriff auf die SMS, MMS und Internet hat. Im besten Fall passiert nichts mit den Daten, im Schlechtesten ist jeder Keylogger am PC dagegen veraltet. Warum umständlich Keylogger programmieren, auf den PC heimlich schleusen und Antivirenprogramme austricksen wenn man mit einer internetfähigen Tastatur-App, die der Nutzer freiwillig installiert, viel leichter ans Ziel kommt.

Dem stimme ich zu. Eine Tastatur-App sollte keinesfalls Internetzugriff haben.

 

[fabian485]

Das ganze scheitert doch letztendlich wieder einmal an der mangelnden Kompetenz der meisten Benutzer bzw. deren Unwillen sich wirklich mit der ganzen Sache zu beschäftigen.

Ganz egal wie das letztendlich gelöst wird z.B. Rechte bei der Installation vergeben / später bei Zugriff einzeln nachfragen / Nachfrage einer Firewall ob Programm x Aktion y ausführen darf.

Solche Sachen erfordern es das der Benutzer sich im klaren ist was das alles bedeutet und eine bewusste Entscheidung trifft ob er es zulassen will oder nicht.
Die meisten Benutzer haben davon keine Ahnung und auch keine Lust sich damit zu beschäftigen.

Ist das gleiche Problem wie bei Windows, die meisten klicken doch solche Sachen wie Meldungen der UAC oder Firewall einfach weg ohne es zu lesen und wundern sich nachher das ihr PC verseucht ist.

Ich meine wenn ne Wallpaper App Zugriff auf solche Sachen wie persönliche Kontakte / Internet / SMS verschicken / kostenpflichtige Dienste haben will dann müssen eigentlich bei jedem mit gesundem Menschenverstand die Alarmglocken angehen und ihn vorerst von der Installation abhalten.

In die Art und Weise wie Apple das ganze löst ist auch nicht viel besser sollte es schadsoftware durch die Eingangkontrollen des Appstores schaffen. Einmal drin im Store hat die App ja dann ihren "Persilschein" und kann machen was sie will ganz ohne weitere lästige nachfragen bei Installation / Ausführung.

 

[droido]

die schuld jetzt bei den user zu suchen ist schon zu einfach und schön geredet
es steht zwar was die app beim installieren darf, aber wer versteht das den?
der otto-user wohl nicht!
da hat sich google schon zu einfach gemacht, die entwickler alle erdenkliche hilfen um an die daten der user zu gelangen und der datenschutz, der in vielen länder gesetzlich vorgeschrieben ist, zu misachten
an den user hat google garnicht gedacht oder es ist ihm schnuppe, da muss der gesetzgeber mal wirklich solche firmen mal auf die finger hauen
den es geht nicht, dass bei jeder neue technische erungerschaft die user einen datenstripstis durchführen müssen

google und der gesetzgeber haben hier total versagt, aber eigentlich kann man den firmen keinen vorwurf machen
den sie verhalten sich wie kinder und wenn kein erwachsener da ist, der diese die grenzen zeigt, dann sind solche sachen eh vorprogramiert

 

[fabian485]

die schuld jetzt bei den user zu suchen ist schon zu einfach und schön geredet
es steht zwar was die app beim installieren darf, aber wer versteht das den?
der otto-user wohl nicht!

und was ist dein Lösungsvorschlag??

Computer und Smartphones (sind ja eigentlich kleine Computer) sind nun einmal technisch sehr komplexe Maschinen.
Zu glauben das man diese mit 0 Ahnung von der Sache ohne Komplikationen dauerhaft betreiben kann ist ziemlich naiv.

Das ist irgendwie paradox, keiner würde auf die Idee kommen ohne die ensprechenden Kenntnisse / Ausbildung ein Auto / Flugzeug betreiben zu können.

Bei Computern die technisch ähnlich komplex sind ist aber jeder der Meinung das sei überhaupt kein Problem, bis irgendwann die große Rechnung kommt weil der Computer mit Trojanern verseucht ist.

Da die User wie du schon sagst die Sache nicht gut genug verstehen um entscheiden zu können was eine Anwendung darf / nicht darf sind eigentlich schonmal Lösungsvorschläge bei denen der User das zu entscheiden hat zum scheitern verurteilt.

Bleibt am Ende nur noch ne Lösung ala Apple übrig.
Und das wollen wir ja bei Android alle nicht.

google und der gesetzgeber haben hier total versagt

??? Man kann es keinem Benutzer verbieten auf seinem PC / Smartphone irgendwelche iCrap Programme zu installieren die ihn ausspionieren.

Gibt ja auch genug Programme die aus guten Gründen Zugriff auf die ganzen Daten brauchen um ihre Funktion zu erfüllen.

Mehr als darauf hinweisen auf welche Daten die Programme zugreifen kann man nicht, wenn der User nicht kompetent genug ist das im Zweifelsfall bei ihm die Alarmglocken angehen kann Google und der Gesetzgeber auch nichts dafür.

 

[Kranki]

die schuld jetzt bei den user zu suchen ist schon zu einfach und schön geredet
es steht zwar was die app beim installieren darf, aber wer versteht das den?
der otto-user wohl nicht!

Hör mal, das ist dann ganz einfach Pech.

da hat sich google schon zu einfach gemacht, die entwickler alle erdenkliche hilfen um an die daten der user zu gelangen und der datenschutz, der in vielen länder gesetzlich vorgeschrieben ist, zu misachten
an den user hat google garnicht gedacht oder es ist ihm schnuppe, da muss der gesetzgeber mal wirklich solche firmen mal auf die finger hauen
den es geht nicht, dass bei jeder neue technische erungerschaft die user einen datenstripstis durchführen müssen

google und der gesetzgeber haben hier total versagt, aber eigentlich kann man den firmen keinen vorwurf machen
den sie verhalten sich wie kinder und wenn kein erwachsener da ist, der diese die grenzen zeigt, dann sind solche sachen eh vorprogramiert

Ja schön, mir als kompetentem Nutzer soll durch miserable APIs und oppressive Gesetzgebung mein Gerät verkrüppelt werden, nur damit der inkompetenteste und faulste Nutzer sein Hirn ausschalten kann, wenn er sein "Smart"phone benutzt. Ich bedanke mich!

Mal ehrlich: Wer mit einem Smartphone nicht zurechtkommt, soll sich ein Dumbphone und einen Gameboy kaufen, statt rumzuschreien, dass die Geräte gefälligst auf sein Niveau verkrüppelt werden sollen.

Edit: Um das nochmal eindeutig klarzustellen, warum ich da so verärgert reagiere: Bei den Beschreibungen, die der "otto-user" nicht verstehen soll, handelt es sich um kryptische Dinge wie "Browserverlauf und Lesezeichen lesen", "Kontaktdaten lesen" und "SMS oder MMS lesen". Wenn das einer nicht versteht liegt es mit Sicherheit nicht am Gerät.

 

[droido]

und was ist dein Lösungsvorschlag??

ganz einfach!
der user sollte die möglichkeit haben unkompliziert nachträglich oder sogar wärend der installation der app zu entscheiden, was die app überhaupt darf oder nicht
und die app sollten so konfiguriert sein, dass sie im vorhinein und bevor sie nach hause telefonieren, den user melden, was, welche, wohin die daten gehen und was man damit macht

Computer und Smartphones (sind ja eigentlich kleine Computer) sind nun einmal technisch sehr komplexe Maschinen.
Zu glauben das man diese mit 0 Ahnung von der Sache ohne Komplikationen dauerhaft betreiben kann ist ziemlich naiv.

nee, so einfach ist es nicht, beim pc entscheide ich und nur ich welches os ich da haben will
bei den smartphones darf ich das nicht und man wird auch noch behindert.
das wäre genial, wenn die hersteller den smartphones offen liefern würde und so auch ich selber nachträglich mein wunsch os installieren könnte, wie beim pc

...
Bleibt am Ende nur noch ne Lösung ala Apple übrig.
Und das wollen wir ja bei Android alle nicht.

ach quatsch

 

[droido]

Hör mal, das ist dann ganz einfach Pech.

Ja schön, mir als kompetentem Nutzer soll durch miserable APIs und oppressive Gesetzgebung mein Gerät verkrüppelt werden, nur damit der inkompetenteste und faulste Nutzer sein Hirn ausschalten kann, wenn er sein "Smart"phone benutzt. Ich bedanke mich!

Mal ehrlich: Wer mit einem Smartphone nicht zurechtkommt, soll sich ein Dumbphone und einen Gameboy kaufen, statt rumzuschreien, dass die Geräte gefälligst auf sein Niveau verkrüppelt werden sollen.

nicht jeder hirni ist schlau wie du, du kannst nicht wirklich verlangen, das der otto-user sich täglich stundenlang wie wir mit der materie beschäftigt
und niemand sprich von irgend welche "miserable APIs und oppressive Gesetzgebung mein Gerät verkrüppelt"
es geht um mehr transparenz und kontrolle für den user

Edit: Um das nochmal eindeutig klarzustellen, warum ich da so verärgert reagiere: Bei den Beschreibungen, die der "otto-user" nicht verstehen soll, handelt es sich um kryptische Dinge wie "Browserverlauf und Lesezeichen lesen", "Kontaktdaten lesen" und "SMS oder MMS lesen". Wenn das einer nicht versteht liegt es mit Sicherheit nicht am Gerät.

du macht es dir zu einfach
was pasiert mit diesen daten? und......
schon alleine die vorinstallierte app sind sehr redselig und wie soll der user das den unterbinden?

 

[Kranki]

nicht jeder hirni ist schlau wie du, du kannst nicht wirklich verlangen, das der otto-user sich täglich stundenlang wie wir mit der materie beschäftigt

Das Argument lasse ich nicht gelten. Beispiele dafür, wie diese Berechtigungen bei der Installation aussehen, hab ich oben genannt. Die sind klar verständlich, auch für den Laien.

Deine anderen Vorschläge setzen (von einer absolut indiskutablen Benutzerführung mal abgesehen) voraus, dass der Entwickler der App angibt, welche Daten er wohin schickt, und was er mit denen macht. Siehst du selber, wo das Problem liegt?

Edit: Heute hab ich im Market eine App gesehen, die unter anderem die Kontaktbilder ändern kann. Ein Kommentar einer 1-Stern-Bewertung: "Warum braucht die App Zugriff auf Kontakte?". Da hat einer die Beschreibung nicht gelesen oder konnte die beschriebene Funktionalität nicht mit den Berechtigungen in Verbindung setzen, aber sogar der hat die Berechtigung selbst verstanden.

Bei einer so feinkörnigen Sicherheit, wie du sie willst, hast du (geschätzt) 5% Pflaumen, die immer auf Ja klicken und dem System dadurch jeden Sinn nehmen, 5% Pflaumen, die immer auf Nein klicken und sich dann beschweren, dass nichts läuft und 89,9% Normalnutzer, die nicht bei jeder Verwendung ihres Handys drölf Sicherheitsabfragen sehen wollen und die feinkörnigen Berechtigungen deshalb wieder abschalten. Für 0,1% der Nutzer sowas zu entwickeln ist weder den Aufwand wert, noch ein Sicherheitskonzept.

 

[willing]

Deine anderen Vorschläge setzen (von einer absolut indiskutablen Benutzerführung mal abgesehen) voraus, dass der Entwickler der App angibt, welche Daten er wohin schickt, und was er mit denen macht. Siehst du selber, wo das Problem liegt?

Exakt. Als Benutzer hab ich doch wohl das Recht zu erfahren was mit meinen Daten gemacht wird und wohin sie wandern. Das ist im Internet auch Pflicht,ein Anbieter muss angeben (machen sicherlich nicht alle) zu welchem Zweck er persönliche Daten verwendet. Die Rechtsprechung ist in Deutschland da eindeutig.

Abgesehen davon, das Argument dass es im App Store von Apple zu viele Kontrollen gibt kann doch nicht der Maßstab sein. Es kann doch nicht der Maßstab sein zwischen zwei Extremen zu wählen, auf der einen Seite totale Kontrolle, auf der anderen gar keine Kontrolle.
Ein Mittelweg wäre angebracht. Apps sollten vor der Freigabe darauf kontrolliert werden ob der Zugriff auf persönliche Daten notwendig ist damit das Programm vernünftig läuft. Am Beispiel der Wallpaper App sieht man das es schlicht eine Farce ist was die Anbieter da abziehen ! Da müsste Google einschreiten. DAs ist sicherlich nicht wenig Aufwand,aber aus datenschutzrechtlichen Gründen wäre es angebracht. Gerade Google,die das Image haben den Datenschutz nicht ernst zu nehmen sollten sich mal der Sache annehmen.

 

[mccrain]

es steht zwar was die app beim installieren darf, aber wer versteht das den?
der otto-user wohl nicht!

ganz einfach!
der user sollte die möglichkeit haben unkompliziert nachträglich oder sogar wärend der installation der app zu entscheiden, was die app überhaupt darf oder nicht
und die app sollten so konfiguriert sein, dass sie im vorhinein und bevor sie nach hause telefonieren, den user melden, was, welche, wohin die daten gehen und was man damit macht

Du findest also, dass z.B. die Info "Kontaktdaten lesen/schreiben", die vor der Installation angezeigt wird, zu schwer für otto-user. Forderst dann aber, dass der Nutzer während der Installation es entscheiden soll? Während der Installation ist er dann schlauer?
Und es wird für Programmierer sehr schwer sein, Apps zu entwickeln, die zu 100% auch dann funktionieren wenn der User sie "beschneidet".
Kenne wenige PC-Programme bei denen ich Zugangsberechtigungen/-beschränkungen festlegen kann. Im Gegenteil: Selten wird auf Internetzugriff o.ä. hingewiesen (höchstens in den AGB) und dann weiß ich auch nicht zu 100% was sie übertragen. Otto-user erst recht nicht!

nee, so einfach ist es nicht, beim pc entscheide ich und nur ich welches os ich da haben will

Dann viel Spaß beim Kauf eines iMAC mit Win7, Linux-PC bei der Eletronikkette und AMIGA-PC. Nachträgliches Installieren zählt nicht da es für otto-user auch zu schwer wäre!

 

[H1Chris]

Jetzt nehmen wir doch mal an die App listet auf was sie alles "sendet". Da würde wohl kaum stehen "Ich sende jetzt mal eben ihre vertraulichen Daten". Da würde wenn dann etwas stehen das der 0815-User eh nicht versteht.

 

[droido]

Deine anderen Vorschläge setzen (von einer absolut indiskutablen Benutzerführung mal abgesehen) voraus, dass der Entwickler der App angibt, welche Daten er wohin schickt, und was er mit denen macht. Siehst du selber, wo das Problem liegt?

wo liegt da das problem?
einfach vor dem installieren hinzuweisen was die app mit meinen daten macht usw..
jede funktion nach aussen mit einen häcken erst zu bewiligen
und bei den einstellungen der app könnte man auch nachträglich aktivieren oder deaktivieren

wo ist da das problem?

zudem was bringt zu wissen, das zb. eine sms app meine kontakte zugreift?
ich weiss immer noch nicht was diese mit meine kontakte macht, greift sie nur um sms an einen kontakt zu verknüpfen oder sendet es meine kontakte irgend wohin?

siehst du, so einfach ist die heutige regelung überhaupt nicht
und was ist beim update der app? wenn der programierer die einstellungen verändert ? und so mit doch mit meinen daten macht was er will?

da kommt noch einiges auf uns zu