Weitreichende Berechtigungen des vorinstallierten App/Widgets "Taschenlampe 1.24"

[stbi]

Den Zugriff auf die PhoneID z.B. ist in "READ_PHONE_STATE" Permission untergebracht. READ_PHONE_STATE nutzen viele Apps, um zu erkennen, ob gerade ein Telefonat geführt wird. Dann erzeugen sie z.B. keine Töne, die stören können. Die eigentliche Phone-ID interessiert die Apps gar nicht, aber trotzdem zeigt LBE das natürlich an.

Komisch, wieso werden dann in LBE die Berechtigungen "Phone ID" und "Phone State" getrennt aufgeführt?

Laut dem Beschreibungstext in LBE umfaßt "Phone ID" nicht nur die IMEI und die IMSI, sondern auch die Rufnummer -- und wer möchte schon, daß irgendwelche Apps die Rufnummer auslesen können dürfen, nur um den Telefonstatus festzustellen...?

P.S.: Gibt es eigentlich eine Test-App, mit der man gezielt Berechtigungen gegen Sicherheitsprogramme wie LBE oder PDroid testen kann?

 

[frank_m]

Komisch, wieso werden dann in LBE die Berechtigungen "Phone ID" und "Phone State" getrennt aufgeführt?

Mittlerweile in neueren APIs gibt es verschiedene Möglichkeiten, an die Daten zu kommen.

Laut dem Beschreibungstext in LBE umfaßt "Phone ID" nicht nur die IMEI und die IMSI, sondern auch die Rufnummer

Das kommt wieder auf den API Level an. Ist aber durchaus möglich, dass Apps die Berechtigung so benutzen.

-- und wer möchte schon, daß irgendwelche Apps die Rufnummer auslesen können dürfen, nur um den Telefonstatus festzustellen...?

Nicht jede App tut auch alles, was sie darf, nur weil sie es darf. Es gibt durchaus Programmierer, die nutzen die angeforderten Rechte nur im Sinne der App, und nicht um alle möglichen Daten auszuspionieren.

Grundsätzlich muss man dann aber sagen, dass einem auch ein Programm wie LBE nicht weiterhilft. Wenn man eine spezielle Berechtigung erlaubt, erlaubt man sie vollständig, mit allen daraus resultierenden Zugriffen.

 

[stbi]

Nicht jede App tut auch alles, was sie darf, nur weil sie es darf. Es gibt durchaus Programmierer, die nutzen die angeforderten Rechte nur im Sinne der App, und nicht um alle möglichen Daten auszuspionieren.

Mag sein, und sicher ist das auch die Mehrheit der Programmierer, aber es kann eben auch Programmierer geben, die sich nicht nur auf die Nutzung der Rechte im Sinne der App beschränken, und da man das aber als Endanwender nicht wissen kann, ist es grundsätzlich ratsam, Vorkehrungen gegen einen möglichen Mißbrauch zu treffen.

Grundsätzlich muss man dann aber sagen, dass einem auch ein Programm wie LBE nicht weiterhilft. Wenn man eine spezielle Berechtigung erlaubt, erlaubt man sie vollständig, mit allen daraus resultierenden Zugriffen.

Klar, was das Programm letztlich mit diesen Berechtigungen macht, weiß man nicht. Wenn man den Zugriff auf die SD-Karte erlaubt, könnte ein böser Programmierer die SD-Karte auch löschen oder Daten darauf verfälschen oder mit einem bösen autorun.inf bestücken etc...

 

[altae]

Grundsätzlich muss man dann aber sagen, dass einem auch ein Programm wie LBE nicht weiterhilft. Wenn man eine spezielle Berechtigung erlaubt, erlaubt man sie vollständig, mit allen daraus resultierenden Zugriffen.

Das ist so nicht ganz korrekt. Bei LBE hat man die Möglichkeit, statt fixe Berechtigungen das Ganze so zu konfigurieren, dass zum Beispiel beim Internetzugang nachgefragt werden muss. So kann ich selektiv diesen zulassen, wenn ich nach Updates suchen will, und den Zugang verweigern, wenn das Programm ohne ersichtlichen Grund ins Internet will. Lädt man sich den Security Master bei XDA, so gibt es diese Möglichkeit bei allen Rechten ausser der ID. Da geht nur fix ja oder nein.


Sent from my Galaxy Note running ICS