Weitreichende Berechtigungen des vorinstallierten App/Widgets "Taschenlampe 1.24"

[altae]

Ich kann nur immer wieder LBE Security Guard empfehlen. Damit ist Schluss mit Internetzugriff für den Wecker, Positionsbestimmung für den Video Player (ohne Scherz, der will die aktuelle Position bestimmen), etc. Und wer mit der lausigen Übersetzung leben kann, der sollte sich den LBE Security Manager bei XDA herunterladen. Da lässt sich der Internetzugriff für jede App so festlegen, dass jedes Mal nachgefragt wird, ob diese aufs Internet zugreifen darf. Beim LBE Security Guard hingegen geht nur Zugriff erlauben oder verweigern. Nachfragen geht da nur bei den übrigen Berechtigungen, nicht jedoch beim Internetzugriff.

Sent from my Galaxy Note running ICS

 

[Phasenspringer]

Chinesiche Sicherheitsapp! Ich dachte, das schließt sich irgendwie aus!

 

[altae]

Chinesiche Sicherheitsapp! Ich dachte, das schließt sich irgendwie aus!

Und wieso genau, abgesehen von irgendwelchen (westlichen) Vorurteilen? Es gibt mindestens so viele Hacker in den USA. Trotzdem wird nicht jede Software aus den USA prinzipiell als Malware abgetan. Ausserdem ist der LBE Privacy Guard schon seit Ehwigkeiten im Play Store verfügbar. Wenn es sich wirklich um Malware handeln würde, hätte Google die App längst entfert. Und schlussendlich ist es leider so, dass LBE die einzige Sicherheitssoftware ist, welche derart umfangreiche Funktionen bietet. Der App Guard ist lächerliche im Gegensatz zu LBE. Also ich habe nur gute Erfahrungen damit gemacht und kann die Software daher wärmstens empfehlen.

 

[Phasenspringer]

Der App Guard ist lächerliche im Gegensatz zu LBE..

Und: Der Funktionsbeschreibung nach frickelt AppGuard an den anderen Apps herum!!! (Ein Code wird eingepatcht!) Dies bedeutet m.M.n. in vielen (wenn nicht allen) Fällen die Verletzung des Copyrights oder der Lizenz der damit bearbeiteten Apps, da diese ja manipuliert werden. Daher ist die App m.M.n. wohl auch aus dem Store geflogen und rechtlich doch bedenklich! Schade, es hätte soooo schön sein können!

ausserdem: Lassen sich mW.n. nicht alle Apps die gesichert sind ohne Weiteres durch eine Drüberinstallation ersetzen!


Edit: geändert, da neue Erkenntnisse bezüglich der Arbeitsweise bekommen.

 

[altae]

Und: Der Funktionsbeschreibung nach frickelt die App an den anderen Apps herum!!! (Ein Code wird eingepatcht!) Dies bedeutet m.M.n. in vielen (wenn nicht allen) Fällen die Verletzung des Copyrights oder der Lizens der damit bearbeiteten Apps, da diese ja manipuliert werden. Daher ist die App m.M.n. wohl auch aus dem Store geflogen und rechtlich doch bedenklich! Schade, es hätte soooo schön sein können!

ausserdem: Lassen sich mW.n. nicht alle Apps die gesichert sind ohne Weiteres durch eine Drüberinstallation ersetzen!


Edit: geändert, da neue Erkenntnisse bezüglich der Arbeitsweise bekommen.

Leider ist es eben so, dass es schlicht keine Konkurrenz zu LBE gibt. Der App Guard ist keine solche. Hier nur einige Punkte: Läuft nicht unter GB, modifiziert Anwendungen, dabei gehen Daten verlohren, stört die Update Funktionalität der Apps...

Natürlich kann ich keine Garantie für LBE geben (Privacy Guard oder Security Manager). Aber ich kann sagen, dass ich LBE Sicherheitssoftware nutze, seit ich ein Android Phone habe. Dabei hat es nicht ein einziges Ereignis gegeben, welches mich dazu veranlasst hätte, an der Seriosität von LBE zu zweifeln. Keine unerklärlichen Datenübertragungen, keine Telefonverbindungen oder SMS-Versand, keine Datenverluste, keine Viren (nutze eine separate Anti Virus Lösung)...

 

[Phasenspringer]

Mir sind bekannte Zugriffe lästiger Apps letztendlich aber lieber, als die evtl. vorhandene Möglichkeit unerkannt arbeitender Botnetze aus China.
Das ist zumindest MEIN Standpunkt

 

[syscrh]

Mir sind bekannte Zugriffe lästiger Apps letztendlich aber lieber, als die evtl. vorhandene Möglichkeit unerkannt arbeitender Botnetze aus China.
Das ist zumindest MEIN Standpunkt

Du behauptest durch Deine Aussage, dass alle Botnetze aus China kommen

EDIT: Ich habe gerade mein Note wieder bekommen und gleich mal nachgeschaut bzw. ich wollte nachschauen, doch ich konnte die Taschenlampe nicht finden. Samsung hat bei mir Hardware getauscht und danach die LRK FW geflasht. Jetzt kann ich die Taschenlampe nicht finden.

 

[madbird]

Schon Kaiser Wilhelm II sprach nicht ohne Grund von der 'gelben Gefahr', und der hatte nicht mal ein Smartphone .
Es ist immer eine Freude an zu sehen wie aus lauter Angst vor den bösen Chinesen deren App's per se verteufelt werden.
Auf der anderen Seite werden App's deren einziger Sinn der Diebstahl von Daten sein kann, wenn man die geforderten Rechte mit der erbrachten Leistung vergleicht, als 'Zugriffe lästiger Apps' verharmlost.
Ich habe mich erst einmal schlau gemacht als ich das erste mal von LBE gehört habe, und niemand inklusive der Cracks bei den XDA's hat etwas verdächtiges daran finden können (beim Go Launcher ist es übrigens ebenfalls so). Es sind nun mal nicht alle Chinesen Botneztprogramierer (wie kommt man in dem Zusammenhang eigentlich auf Botnetze?), aber pflege ruhig deine Vorurteile weiter, so etwas hat die Welt und deren Menschen stets voran gebracht.

 

[altae]

So ist das eben. Es gibt diverse Threads in diversen Foren über LBE. Aber egal welchen Thread man liest, es gibt nur 1 Argument gegen LBE: Es kommt aus China. Niemand konnte jemals irgendetws beweisen, es gibt auch überhaupt kein Indiz, dass LBE etwas schädliches/ illegales macht. Aber eben, es kommt aus China

Nur so nebenbei bemerkt, eine der bekanntesten Unternehmungen, welche Sicherheitssoftware herstellt, kommt aus dem bösen Russland. Da müssten die China Kritiker aber ihre Finger von Kaspersky Software lassen, denn da ist sicher auch versteckte Malware drin. Ok, es gibt kein Indiz dafür aber hey, es kommt aus Russland, das sind alles Hacker.

Niemand muss LBE nutzen. Aber allen China Argumenten zum trotz ist LBE die einzige brauchbare Software für Android, welche die Rechte der Apps wieder unter die Kontrolle der User bringt. Frage: Wieso schafft es kein Ami oder Europäer, eine entsprechende Software zu programmieren? Und zu App Guard kann ich nur sagen: Nice try aber ohne root Rechte wird das nix. Wenn ich etwas kontrollieren will, dann brauche ich übergeordnete Rechte, alles andere ist basteln. Apps modifizieren, so ein Schwachsinn. Aussersem klar ein Verstoss gegen die jeweiligen Lizenzbestimmungen.

Sent from my Galaxy Note running ICS

 

[Phasenspringer]

Du behauptest durch Deine Aussage, dass JEDER Chinese ein Hacker, ... ist!
.

Sorry, das geht mir jetzt doch sehr in die falsche Richtung! Diese Interpretation ist Quatsch!!! Ich denke, das Thema ist damit durch.

 

[syscrh]

Sorry, das geht mir jetzt doch sehr in die falsche Richtung! Diese Interpretation ist Quatsch!!! Ich denke, das Thema ist damit durch.

Eine Frage: Warum ist diese Interpretation Quatsch?

 

[frank_m]

Leute, bitte. Kommt hier noch was zum Thema? Sonst können wir auch schließen.

Bei mir fordert die App übrigens auch keinerlei Berechtigungen.

 

[syscrh]

Mir ist noch was aufgefallen: Andere Systemapps haben auch nutzlose Berechtigungen. Warum braucht die Video-App GPS?

Gesendet von meinem GT-N7000

 

[altae]

Für was braucht ein Launcher Internetzugriff, die Kamera die IMEI, der Wecker Internetzugriff, google play die IMEI, die Engadget App die IMEI, der Internet Browser meine Position... Jeder sollte mal einen Tag lang LBE installieren und schauen, was worauf zugreift, das wäre für einige ziemlich lehrreich. Die beste Berechtigung ist aber immer noch der Video Player, welcher meine Position bestimmen will. Als mich LBE zum ersten Mal fragte, ob der Video Player meine Position bestimmen darf, wusste ich nicht, ob ich mich ärgern oder lachen soll. Für mich ist eines klar, Android ohne LBE geht gar nicht.

Sent from my Galaxy Note running ICS

 

[frank_m]

Für viele der Berechtigungen gibt es relativ harmlose Erklärungen.

Den Zugriff auf die PhoneID z.B. ist in "READ_PHONE_STATE" Permission untergebracht. READ_PHONE_STATE nutzen viele Apps, um zu erkennen, ob gerade ein Telefonat geführt wird. Dann erzeugen sie z.B. keine Töne, die stören können. Die eigentliche Phone-ID interessiert die Apps gar nicht, aber trotzdem zeigt LBE das natürlich an. Erschwerend kommt hinzu, dass bis Android 1.6 jede App zwingend diese Berechtigung brauchte, sonst lief sie gar nicht. Alle Apps, die noch so weit abwärtskompatibel sind, brauchen also auch auf jeden Fall diese Berechtigung.

Der Android Market liest übrigens tatsächlich die IMEI und auch die IMSI. Daran wird z.B. das Gerät identifiziert (der Market merkt sich ja die verwendeten Geräte). Anhand der IMSI erkennt Google die "Region" des Gerätes und bietet entsprechend die Apps an (in Deutschland gibt es ja z.B. kein Google Mail im Market. Market Enabler falschen die ersten Ziffern der IMSI für den Zugriff).

Internetzugriff bedeutet nicht zwangsläufig Zugriff ins Internet. Jede Socket Operation wird dadurch abgedeckt, das kann auch eine interne Operation sein. Im Launcher sind häufig Update-Mechanismen untergebracht, die dann Internetzugriff brauchen.

Der Browser braucht GPS, um Location-based Services anbieten zu können. Viele Seiten - z.B. von Tankstellen - bieten die Möglichkeit, die nächste Tankstelle zu suchen. Dafür müssen sie wissen, wo man ist, und deshalb stellt der Browser den GPS Zugriff her. Übrigens ist es meistens gar nicht GPS, sondern nur der Zugriff auf eine Positionsinformation. Die kann auch aus dem Mobilfunknetz kommen.

Fazit: Die Benutzung so einer App ist das eine, aber die richtige Interpretation der angezeigten Ergebnisse das andere. Ich empfehle an dieser Stelle wieder mal, sich ein wenig mit den Android Grundlagen zu beschäftigen, bevor man alles deaktiviert, was das System ausmacht. Die entsprechenden Artikel habe ich in den FAQ gesammelt. Dennoch will ich nicht grundsätzlich von Apps wie LBE abraten. Man sollte sich nur gut überlegen, was man verbietet, und was nicht.

 

[altae]

Der Sinn von read phone state ist mir auch klar. Aber der Rest? Ich brauche keinen Browser, der mir lokae Dienste anbietet, da kommt eh nur Schwachsinn dabei raus, ich bin durchaus in der Lage, bei google ort + pizzaservice einzutippen (nur ein Beispiel). Der play store funktionniert ebenso wunderbar, ohne dass er die imei registriert. Und bei vielen mit Werbung vollgestopften Apps lässt sich das Problem elegant lösen, in dem man den Internet Zugriff unterbindet. Ich denke ich verstehe ganz gut, wie Android funktionniert. Hast du die Sache mit dem Iphone mitbekommen, als jenand entdeckte, dass eine Datei angelegt wird, welch die Bewegungen des Users speicher? Das selbe machen Android Apps auch, jede Wette. Und dann haben sie auch noch Internet Zugriff. Praktisch so etwas, da lässt sich doch gleich nach hause telephonieren.

Ich bin nicht paranoid, habe auch nichts zu verstecken. Aber die beteiligten Unternehmen verdienen sich dumm und dämlich mit diesen Daten. Ich hingegen sehe keinen Rappen (Cent) davon. Im Gegenteil, ich zahle teures Geld für mein Handy sowie die Prepaid Karte. Bekäme ich für all die Daten, welche da gesammelt werden, beispielsweise ein subventioniertes Handy, so würde die Sache anders aussehen. Aber für nichts bei mir Daten sammeln und sich dann damit bereichern, nö. Da schaue ich doch, dass ich mich wo immer möglich verweigere. Es geht nicht immer aber da wo ich kann, da mache ich es.

Sent from my Galaxy Note running ICS

 

[frank_m]

Es mag durchaus sein, dass nicht alle Berechtigungen, die die Apps so anfordern, sinnvoll sind. Es mag auch sein, dass man lästige Werbung durch die Sperrung des Internets ausblenden kann (auch wenn ich der Meinung bin, dass man den App Autoren die Einnahme ruhig gönnen sollte, wenn sie sich schon die Mühe machen und uns kostenlose Apps zur Verfügung stellen).

Was ich nur sagen will: Man sollte sich sehr genau überlegen, was man sperrt. Ich halte es für keine gute Idee, dem Market die Berechtigung zu nehmen, die IMEI auszulesen. Generell ist es gefährlich, zu viele Berechtigungen zu beschränken. Letztens hatten wir ein massives Akku Problem, weil jemand eine Systemapp von irgendeiner Berechtigung ausgeschlosse hatte (Internet war es auch, glaube ich). Ab sofort versuchte die App, dauerhaft ins Internet zu kommen und lies das Gerät nicht mehr in den DeepSleep. Das gemeine: Aus den BatterieStatistiken war das nicht zu entnehmen.

Man sollte sehr genau wissen, was man tut, wenn man Berechtigungen einschränkt. Das ist definitiv nichts für Anfänger, denn man kann sich schnell ein Problem konfigurieren, wonach man lange suchen kann.

Übrigens zum Thema gesammelte Daten: Zum einen überschätzt du den Wert dramatisch, den solche gesammelten Daten haben könnten. Zum anderen hab ich selber aufgrund einiger Analysen mal den Upload eines Android Telefons längere Zeit gemonitort. Du wärst enttäuscht, wenn du sehen würdest, wie wenig so ein Android Telefon wirklich ins Internet sendet. Empfangen tut es deutlich mehr, aber um die von dir angesprochenen Daten loszuwerden, müsste es ja senden. Das tut es aber praktisch gar nicht.

 

[syscrh]

...
Übrigens zum Thema gesammelte Daten: Zum einen überschätzt du den Wert dramatisch, den solche gesammelten Daten haben könnten. Zum anderen hab ich selber aufgrund einiger Analysen mal den Upload eines Android Telefons längere Zeit gemonitort. Du wärst enttäuscht, wenn du sehen würdest, wie wenig so ein Android Telefon wirklich ins Internet sendet. Empfangen tut es deutlich mehr, aber um die von dir angesprochenen Daten loszuwerden, müsste es ja senden. Das tut es aber praktisch gar nicht.

Könntest Du genauer sagen, welche Daten das Smartphone versendet? Würde mich nämlich persönlich mal interessieren.

 

[frank_m]

Im Detail hatte ich das damals auch nicht analysiert. Ich hatte damals für den Test alle Mail Konten und Wetter Widgets deaktiviert, weil die bei mir immer sehr viel Traffic erzeugen. Für die restlichen Apps und den Google Sync waren es nur wenige KB am Tag. Wenn man mal in Betracht zieht, wie viel allein schon die Acks für TCP Pakete im Internet verbrauchen, und dass Verbindungen ja auch erst mal angefordert und aufgebaut werden müssen, dann bleibt da wirklich nichts mehr, um irgendwelche gesammelten Daten ins Internet zu schieben.

 

[syscrh]

... Wenn man mal in Betracht zieht, wie viel allein schon die Acks für TCP Pakete im Internet verbrauchen, und dass Verbindungen ja auch erst mal angefordert und aufgebaut werden müssen, dann bleibt da wirklich nichts mehr, um irgendwelche gesammelten Daten ins Internet zu schieben.

Danke, dass hat mir ein bisschen geholfen.