Chris0504
Erfahrenes Mitglied
- 45
Bösartiger Bot hätte auf tausenden Android-Smartphones installiert werden können
- 19 Antworten
- Letztes Antwortdatum
M
Mort
Stamm-User
- 269
Mich wundert eigentlich nur, dass sich jemand darüber wundert.
Wenn ich einer Anwendung erlaube, Kontakte und Internet zu benutzen, kann sie das missbrauchen. Jede eMail-App könnte theoretisch das ganze Adressbuch an einen beliebigen Empfänger schicken, dazu braucht man weder großes Entwicklunsgeschick noch große Tarnung. Außerdem gab's ja auch schon Apps, die (mitunter wenig anonyme) Nutzungsdaten verschickt haben - z.B. Locale und Meridian.
Die Frage ist nur, was man dagegen machen kann. Berechtigungen sind gut und schön, aber werden zu oft weggeklickt oder sind für sinnvolles notwendig - vor allem, wenn sie zu grob vergeben werden (warum mir zwangsläufig die Telefonnummer mitgegeben wird, wenn ich nur irgendwie auf ankommende Anrufe reagieren will, verstehe ich z.B. nicht ganz). Sicher, manches könnte man verfeinern, etwa Server- oder Port-Limits für den Internetzugriff. Aber dann kommt man auch schnell wieder an einen Punkt wie Vista mit dem UAC - wird's zu lästig, wird's abgeschaltet oder blind weggeklickt.
Bliebe noch, vor der Bereitstellung den Datenverkehr zu scannen (was aber wenig hilft wenn die App z.B. erst nach mindestens 5 Tagen die ersten Schadroutinen ausführt) oder den Bytecode (ggf. decompiliert) zu prüfen. Das verzögert aber wieder wichtige Updates, bringt einen Hauch von Big Brother (siehe Appstore-Willkür) und ist ab einer gewissen Appflut gar nicht sinnvoll machbar. Ich kann mir nicht vorstellen, dass Apple wirklich jede Zeile jeder App checkt bevor sie eine App zulassen. Schon gar nicht bei Updates von "bewährten" Anwendungen.
Wenn ich einer Anwendung erlaube, Kontakte und Internet zu benutzen, kann sie das missbrauchen. Jede eMail-App könnte theoretisch das ganze Adressbuch an einen beliebigen Empfänger schicken, dazu braucht man weder großes Entwicklunsgeschick noch große Tarnung. Außerdem gab's ja auch schon Apps, die (mitunter wenig anonyme) Nutzungsdaten verschickt haben - z.B. Locale und Meridian.
Die Frage ist nur, was man dagegen machen kann. Berechtigungen sind gut und schön, aber werden zu oft weggeklickt oder sind für sinnvolles notwendig - vor allem, wenn sie zu grob vergeben werden (warum mir zwangsläufig die Telefonnummer mitgegeben wird, wenn ich nur irgendwie auf ankommende Anrufe reagieren will, verstehe ich z.B. nicht ganz). Sicher, manches könnte man verfeinern, etwa Server- oder Port-Limits für den Internetzugriff. Aber dann kommt man auch schnell wieder an einen Punkt wie Vista mit dem UAC - wird's zu lästig, wird's abgeschaltet oder blind weggeklickt.
Bliebe noch, vor der Bereitstellung den Datenverkehr zu scannen (was aber wenig hilft wenn die App z.B. erst nach mindestens 5 Tagen die ersten Schadroutinen ausführt) oder den Bytecode (ggf. decompiliert) zu prüfen. Das verzögert aber wieder wichtige Updates, bringt einen Hauch von Big Brother (siehe Appstore-Willkür) und ist ab einer gewissen Appflut gar nicht sinnvoll machbar. Ich kann mir nicht vorstellen, dass Apple wirklich jede Zeile jeder App checkt bevor sie eine App zulassen. Schon gar nicht bei Updates von "bewährten" Anwendungen.
kleinerkathe
Dauer-User
- 242
Klingt ja geradezu reißerisch der Titel 
Aber hey, wer sich jede x-beliebige App installiert, die trotz Hinweis auf den Zugriff auf "Kostenpflichtige Dienste" "Telefonbuch" usw. auf dem Handy landet ist ja wohl selber schuld ...
Ich hab bspw. ein Spiel, dass Zugriff auf "SMS versenden" möchte garnicht erst installiert, da es mir ja sogar extra angezeigt wird ...
Aber hey, wer sich jede x-beliebige App installiert, die trotz Hinweis auf den Zugriff auf "Kostenpflichtige Dienste" "Telefonbuch" usw. auf dem Handy landet ist ja wohl selber schuld ...
Ich hab bspw. ein Spiel, dass Zugriff auf "SMS versenden" möchte garnicht erst installiert, da es mir ja sogar extra angezeigt wird ...
M
Mort
Stamm-User
- 269
Du würdest also auch nie Comp/Handcent SMS oder K-9 installieren? Oder irgendeinen der vielen Medienplayer, die Anrufe für die automatische Pause mitbekommen und Internetzugang für Cover/Lyricsdownload nutzen?
kleinerkathe
Dauer-User
- 242
Dämmliche Frage
Warum sollte ein Weatherwidget Zugriff auf bspw. "Systemeinstellungen" "SMS" "Adressbuch" usw. benötigen ... (ausser es ist nicht ordentlich programmiert)
Wenn man etwas nachdenkt, sollte man darauf kommen, dass schlimmstenfalls da etwas nicht stimmen kann
Wenn eine SMS-Applikation auf SMS Zugriff haben muss (logisch), dann ist das verständlicher, als irgendein Widget ...
Warum sollte ein Weatherwidget Zugriff auf bspw. "Systemeinstellungen" "SMS" "Adressbuch" usw. benötigen ... (ausser es ist nicht ordentlich programmiert)
Wenn man etwas nachdenkt, sollte man darauf kommen, dass schlimmstenfalls da etwas nicht stimmen kann
Wenn eine SMS-Applikation auf SMS Zugriff haben muss (logisch), dann ist das verständlicher, als irgendein Widget ...
M
Mort
Stamm-User
- 269
Von Adressbuch usw. ist im Artikel auch überhaupt nicht die Rede. Die App verwendet bisher nur GPS-Position, Zugriff auf die SD (macht z.B. Beautiful Widget auch - für die Skins) und Internetzugriff. Ich persönlich fände eine SMS-App, die ganz unverdächtige Berechtigungen missbraucht, deutlich unangenehmer.
Chris0504
Erfahrenes Mitglied
- 45
- Themenstarter
- #7
Ich denke auch, dass die Berechtigungen immer übersehen bzw. weggeklickt werden. Ich glaube viele Android-User sind der ständigen Gefahr von einem Bot bzw. Virus angegriffen zu werden nicht bewusst. Mal ganz ehrlich: Ich bin mir auch nicht bewusst, dass ich mit jedem App das ich auf mein Handy ziehe, die Gefahr habe, mir einen Bot bzw. Virus einzuhandeln. Deshalb finde ich das auch mal ganz gut, dass jemand zeigt, wie einfach es eigentlich geht, ein Programm mit einem Bot auf tausende Smartphones zu laden.
Liebe Grüße
Christian
Liebe Grüße
Christian
McFlow
Dauer-User
- 379
Naja, was ist an der Meldung jetzt so besonders?
Jedes System ist anfällig für irgendetwas. Egal ob Windows, Linux, Mac OS oder eben Android.
Ich schaue mir vorher die Kommentare und Berichte dazu im Internet an, bevor ich mir eine App installiere. Aber die Berechtigungen lesen nicht viele denke ich.
Es ist auf jedem System das gleiche. Man muss halt aufpassen was man interessiert.
Da Smartphones immer leistungstärker werden, rücken die wahrscheinlich jetzt auch immer mehr ins Visier. Ein Botnetz aus Smartphones.....
Jedes System ist anfällig für irgendetwas. Egal ob Windows, Linux, Mac OS oder eben Android.
Ich schaue mir vorher die Kommentare und Berichte dazu im Internet an, bevor ich mir eine App installiere. Aber die Berechtigungen lesen nicht viele denke ich.
Es ist auf jedem System das gleiche. Man muss halt aufpassen was man interessiert.
Da Smartphones immer leistungstärker werden, rücken die wahrscheinlich jetzt auch immer mehr ins Visier. Ein Botnetz aus Smartphones.....
Melkor
Ehrenmitglied
- 10.648
@McFlow
Weil mal wieder gezeigt wird, dass es nicht an Windows liegt, sondern jedes weitverbreitete System Schwachstellen hat, sei es OpenSource oder ClosedSource.
Zudem weiterhin dargestellt wird, dass das größte Sicherheitsrisiko unbedarfte User sind, die sich einerseits über Google, StreetView und Facebook aufregen, andererseits jeder billig-App Zugang zu ihren persönlichsten Daten gewähren...
Ich hoffe Google lernt und gibt den Anbietern bald eine Möglichkeit beim Installieren anzuzeigen, weshalb man Zugang zu diesen Bereichen braucht.
Melkor
Weil mal wieder gezeigt wird, dass es nicht an Windows liegt, sondern jedes weitverbreitete System Schwachstellen hat, sei es OpenSource oder ClosedSource.
Zudem weiterhin dargestellt wird, dass das größte Sicherheitsrisiko unbedarfte User sind, die sich einerseits über Google, StreetView und Facebook aufregen, andererseits jeder billig-App Zugang zu ihren persönlichsten Daten gewähren...
Ich hoffe Google lernt und gibt den Anbietern bald eine Möglichkeit beim Installieren anzuzeigen, weshalb man Zugang zu diesen Bereichen braucht.
Melkor
gokpog
Philosoph
- 1.446
Ich achte eigentlich immer darauf, ob die Apps SMS- oder Telefonrechte haben, die sie nicht haben sollten. So kann man zumindest finanziell nicht so einfach zu Schaden kommen. Ich würde aber beim Installieren eine Warnung begrüßen, die davor warnt, wenn ein Programm die Rechte zum Anrufe ausführen und Textnachrichten abschicken haben will. Beim aktivieren von Fremdtastaturen wird man ja schon gewarnt, dass diese theoretisch in der Lage sind, deine Tastenanschläge auszulesen.
M
Mort
Stamm-User
- 269
Das bringt im schlimmsten Fall aber auch nur falsche Entwarnung. Die Wetter-App hatte auch gute Gründe für GPS (Ortsbestimmung für lokales Wetter) und Internetzugang (Wetter-Server). Eine SMS- oder eMail-App hat gute Gründe für das Auslesen von Kontaktdaten (Handynummern bzw. Mailadressen). Und Internetzugang kann sogar das blödeste Schiebepuzzle mit AdSense-Werbung begründen.Melkor schrieb:
Ich glaube aber nicht, dass Trojaner-Entwickler so blöd sind, dass sie für ein Schiebepuzzle auch das Auslesen von Kontakten und SMS erlauben lassen wollen - das fällt natürlich auf.
Denowa
Enthusiast
- 692
Installiert euch mal das kostenlose App aSpotCat, damit könnt ihr euch genau Anzeigen lassen welche App welche Rechte beansprucht. Ihr werdet staunen ...
Edit: Bitte den Button "Details" nicht übersehen!
Edit: Bitte den Button "Details" nicht übersehen!
trk
Dauer-User
- 143
Chris0504 schrieb:
ich habe auch erst vor kurzem damit angefangen, gelle Mort und Swordi ? *grins*
Das Problem bei den Berechtigungen ist imho das gleiche wie bei dem lesen der AGBs wenn man ein Online Spiel installiert: jeder ist nur daran interessiert die App/das Game zu sehen und nimmt sich keine Zeit die Berechtigungen / die AGB zu lesen und dann zu entscheiden ob man die App / das Game überhaupt noch testen will...
DetWAR schrieb:
und installiert !
edith sagt: Kaloer Clock deinstalliert, da die App meine SMS/MMS lesen kann.
Zuletzt bearbeitet:
M
Mort
Stamm-User
- 269
Naja, ein bisschen hinkt der Vergleich - die Berechtigungen sind normalerweise doch deutlich weniger und verständlicherer Text... Außerdem sind bei den AGB die richtig bösen Hämmer ohnehin gesetzlich nich erlaubt.
Ich denke, das wirkliche Problem ist eher, dass man ohne Quelltextanalyse nicht weiß, wofür die Berechtigungen benötigt werden. Wie schon gesagt: 'ne Mail-App bekommt selbstverständlich die Rechte für Kontakte und Internet - aber damit könnte sie auch heimlich das Adressbuch versenden. Anrufsignalisierung und Internet bei Medienplayern hab ich ja auch schon erwähnt (wobei der MortPlayer bisher ja ohne Internet auskommt).
Wirklich sicher wäre man nur, wenn man jeden Internet-Zugriff mit allen Daten abnicken lassen würde - aber dann wäre man auf einem modernen Smartphone nur noch mit Kontrolle und Bestätigen beschäftigt.
Interessant aber auch, dass die Diskussion scheinbar erst mit den Smartphones so richtig aufkommt. Auf dem PC ist es auch keine Hexerei, mit irgendeinem Freeware-Trojaner die Outlook-Daten auszulesen und zu verschicken. Und da wird noch nicht mal nach Berechtigungen gefragt.
Ich denke, das wirkliche Problem ist eher, dass man ohne Quelltextanalyse nicht weiß, wofür die Berechtigungen benötigt werden. Wie schon gesagt: 'ne Mail-App bekommt selbstverständlich die Rechte für Kontakte und Internet - aber damit könnte sie auch heimlich das Adressbuch versenden. Anrufsignalisierung und Internet bei Medienplayern hab ich ja auch schon erwähnt (wobei der MortPlayer bisher ja ohne Internet auskommt).
Wirklich sicher wäre man nur, wenn man jeden Internet-Zugriff mit allen Daten abnicken lassen würde - aber dann wäre man auf einem modernen Smartphone nur noch mit Kontrolle und Bestätigen beschäftigt.
Interessant aber auch, dass die Diskussion scheinbar erst mit den Smartphones so richtig aufkommt. Auf dem PC ist es auch keine Hexerei, mit irgendeinem Freeware-Trojaner die Outlook-Daten auszulesen und zu verschicken. Und da wird noch nicht mal nach Berechtigungen gefragt.
B
Bear Knuckle
Fortgeschrittenes Mitglied
- 4
Mort schrieb:
§ 307 BGB gilt aber für Software-EULAs erstmal nicht, solange sie nicht öffentlich aushängen.
Das denke ich auch. Ich hab neulich wieder etwas erlebt, das werd ich nie vergessen.
Vielleicht kenne manche die Steam-Plattform von Valve. Für die, die es nicht kennen, es ist ne Spieleplattform, die bei vielen arg in der Kritik steht, da man gekaufte Spiele darauf aktivieren muss, was unter anderem dazu führt, dass man sie nicht wieder verkaufen kann, da sie accountgebunden sind oder man ohne den Account, der theoretisch gesperrt werden könnte, nicht mehr spielen kann, usw.
Jedenfalls hat sich in einem Forum ein Kritiker darüber ereifert und gleichzeitig wutentbrannt erzählt, dass sein Account auch gehackt wurde und das das System völlig unsicher sei und das es eine riesige Sicherheitslücke gäbe und man die Accounts ganz einfach hacken könne und das das alles eine riesen Schweinerei sei und es dem Hersteller, dem er schon viele Mails geschrieben habe, völlig egal sei.
Auf Nachfrage hat er mir dann ein Video der Sicherheitslücke gezeigt, in dem gezeigt wird, wie einfach man doch das System hacken könne:
YouTube - ! NEW ! Steam Account Hacker (IN NUR 2 MINUTEN!) + Downloadlink
Danach war mir auch klar, wie sein Account gehackt wurde.
Viele unterschätzen einfach die Verantwortung, die sie haben. Wer am Netz der Netze teilnimmt ist meiner Meinung nach auch dafür verantwortlich, sein System zu schützen. Natürlich mangelt es den meisten an Fachkenntnis und dem Verständnis dafür, was man ihnen dann auch nicht vorwerfen kann. Man sollte kein IT-Experte sein müssen, um sein System sicher halten zu können. Es ist wahrlich ein Dilemma!
Und wer sagt uns eigentlich, was die von uns so geschätzten ROMs mit unseren Smartphones anstellen?
PS: Ich würde diesen "Bot" eher als Spyware bezeichnen. Ein Bot ist was anderes.
Zuletzt bearbeitet:
C
Comguard
Stamm-User
- 45
Das Video kapier ich nicht...
Die hacken doch keine Accounts sondern senden dem Typen nur ihre Accountdaten mit Passwort zu?
Die hacken doch keine Accounts sondern senden dem Typen nur ihre Accountdaten mit Passwort zu?
B
Bear Knuckle
Fortgeschrittenes Mitglied
- 4
Comguard schrieb:
Das ist richtig, deshalb steht in den Kommentaren auch:
"The passwords don't work."
Und zwei Tage später kotzen sich diesselben Leute in irgendeinem Forum aus, ihr Account sei gehackt worden und was Steam doch für eine Schweinerei sei und wie unsicher das doch alles sei und posten dann zum Beweis solche Videos. ;-)
Zuletzt bearbeitet:
Denowa
Enthusiast
- 692
Dummheit müsste weh tun ... aber dann würde man vor lauter Schmerzensschreien sein eigenes Wort nicht mehr verstehen.
M
Mort
Stamm-User
- 269
Wenn man denn vor lauter Schreien noch Worte formulieren könnte.DetWAR schrieb:
Zum Glück oder leider (je nach dem...) erkennt man seine eigene Dummheit aber meist erst viel später. Oder überhaupt nicht.
(*räusper* Aber nun wieder BTT...)
superSonic
Neues Mitglied
- 1
@steam-account-hacking: Einfach nur großartig! *sich kugelt*
