Bösartiger Bot hätte auf tausenden Android-Smartphones installiert werden können

  • 19 Antworten
  • Letztes Antwortdatum
Mich wundert eigentlich nur, dass sich jemand darüber wundert.
Wenn ich einer Anwendung erlaube, Kontakte und Internet zu benutzen, kann sie das missbrauchen. Jede eMail-App könnte theoretisch das ganze Adressbuch an einen beliebigen Empfänger schicken, dazu braucht man weder großes Entwicklunsgeschick noch große Tarnung. Außerdem gab's ja auch schon Apps, die (mitunter wenig anonyme) Nutzungsdaten verschickt haben - z.B. Locale und Meridian.
Die Frage ist nur, was man dagegen machen kann. Berechtigungen sind gut und schön, aber werden zu oft weggeklickt oder sind für sinnvolles notwendig - vor allem, wenn sie zu grob vergeben werden (warum mir zwangsläufig die Telefonnummer mitgegeben wird, wenn ich nur irgendwie auf ankommende Anrufe reagieren will, verstehe ich z.B. nicht ganz). Sicher, manches könnte man verfeinern, etwa Server- oder Port-Limits für den Internetzugriff. Aber dann kommt man auch schnell wieder an einen Punkt wie Vista mit dem UAC - wird's zu lästig, wird's abgeschaltet oder blind weggeklickt.
Bliebe noch, vor der Bereitstellung den Datenverkehr zu scannen (was aber wenig hilft wenn die App z.B. erst nach mindestens 5 Tagen die ersten Schadroutinen ausführt) oder den Bytecode (ggf. decompiliert) zu prüfen. Das verzögert aber wieder wichtige Updates, bringt einen Hauch von Big Brother (siehe Appstore-Willkür) und ist ab einer gewissen Appflut gar nicht sinnvoll machbar. Ich kann mir nicht vorstellen, dass Apple wirklich jede Zeile jeder App checkt bevor sie eine App zulassen. Schon gar nicht bei Updates von "bewährten" Anwendungen.
 
Klingt ja geradezu reißerisch der Titel ;)
Aber hey, wer sich jede x-beliebige App installiert, die trotz Hinweis auf den Zugriff auf "Kostenpflichtige Dienste" "Telefonbuch" usw. auf dem Handy landet ist ja wohl selber schuld ...

Ich hab bspw. ein Spiel, dass Zugriff auf "SMS versenden" möchte garnicht erst installiert, da es mir ja sogar extra angezeigt wird ...
 
Du würdest also auch nie Comp/Handcent SMS oder K-9 installieren? Oder irgendeinen der vielen Medienplayer, die Anrufe für die automatische Pause mitbekommen und Internetzugang für Cover/Lyricsdownload nutzen?
 
Dämmliche Frage ;)
Warum sollte ein Weatherwidget Zugriff auf bspw. "Systemeinstellungen" "SMS" "Adressbuch" usw. benötigen ... (ausser es ist nicht ordentlich programmiert)
Wenn man etwas nachdenkt, sollte man darauf kommen, dass schlimmstenfalls da etwas nicht stimmen kann ;)
Wenn eine SMS-Applikation auf SMS Zugriff haben muss (logisch), dann ist das verständlicher, als irgendein Widget ...
 
Von Adressbuch usw. ist im Artikel auch überhaupt nicht die Rede. Die App verwendet bisher nur GPS-Position, Zugriff auf die SD (macht z.B. Beautiful Widget auch - für die Skins) und Internetzugriff. Ich persönlich fände eine SMS-App, die ganz unverdächtige Berechtigungen missbraucht, deutlich unangenehmer.
 
Ich denke auch, dass die Berechtigungen immer übersehen bzw. weggeklickt werden. Ich glaube viele Android-User sind der ständigen Gefahr von einem Bot bzw. Virus angegriffen zu werden nicht bewusst. Mal ganz ehrlich: Ich bin mir auch nicht bewusst, dass ich mit jedem App das ich auf mein Handy ziehe, die Gefahr habe, mir einen Bot bzw. Virus einzuhandeln. Deshalb finde ich das auch mal ganz gut, dass jemand zeigt, wie einfach es eigentlich geht, ein Programm mit einem Bot auf tausende Smartphones zu laden.

Liebe Grüße

Christian
 
Naja, was ist an der Meldung jetzt so besonders?
Jedes System ist anfällig für irgendetwas. Egal ob Windows, Linux, Mac OS oder eben Android.
Ich schaue mir vorher die Kommentare und Berichte dazu im Internet an, bevor ich mir eine App installiere. Aber die Berechtigungen lesen nicht viele denke ich.

Es ist auf jedem System das gleiche. Man muss halt aufpassen was man interessiert.
Da Smartphones immer leistungstärker werden, rücken die wahrscheinlich jetzt auch immer mehr ins Visier. Ein Botnetz aus Smartphones.....
 
@McFlow
Weil mal wieder gezeigt wird, dass es nicht an Windows liegt, sondern jedes weitverbreitete System Schwachstellen hat, sei es OpenSource oder ClosedSource.

Zudem weiterhin dargestellt wird, dass das größte Sicherheitsrisiko unbedarfte User sind, die sich einerseits über Google, StreetView und Facebook aufregen, andererseits jeder billig-App Zugang zu ihren persönlichsten Daten gewähren...

Ich hoffe Google lernt und gibt den Anbietern bald eine Möglichkeit beim Installieren anzuzeigen, weshalb man Zugang zu diesen Bereichen braucht.

Melkor
 
Ich achte eigentlich immer darauf, ob die Apps SMS- oder Telefonrechte haben, die sie nicht haben sollten. So kann man zumindest finanziell nicht so einfach zu Schaden kommen. Ich würde aber beim Installieren eine Warnung begrüßen, die davor warnt, wenn ein Programm die Rechte zum Anrufe ausführen und Textnachrichten abschicken haben will. Beim aktivieren von Fremdtastaturen wird man ja schon gewarnt, dass diese theoretisch in der Lage sind, deine Tastenanschläge auszulesen.
 
Melkor schrieb:
Ich hoffe Google lernt und gibt den Anbietern bald eine Möglichkeit beim Installieren anzuzeigen, weshalb man Zugang zu diesen Bereichen braucht.
Das bringt im schlimmsten Fall aber auch nur falsche Entwarnung. Die Wetter-App hatte auch gute Gründe für GPS (Ortsbestimmung für lokales Wetter) und Internetzugang (Wetter-Server). Eine SMS- oder eMail-App hat gute Gründe für das Auslesen von Kontaktdaten (Handynummern bzw. Mailadressen). Und Internetzugang kann sogar das blödeste Schiebepuzzle mit AdSense-Werbung begründen.
Ich glaube aber nicht, dass Trojaner-Entwickler so blöd sind, dass sie für ein Schiebepuzzle auch das Auslesen von Kontakten und SMS erlauben lassen wollen - das fällt natürlich auf.
 
Installiert euch mal das kostenlose App aSpotCat, damit könnt ihr euch genau Anzeigen lassen welche App welche Rechte beansprucht. Ihr werdet staunen ...

Edit: Bitte den Button "Details" nicht übersehen!
 
  • Danke
Reaktionen: trk
Chris0504 schrieb:
Ich denke auch, dass die Berechtigungen immer übersehen bzw. weggeklickt werden.

ich habe auch erst vor kurzem damit angefangen, gelle Mort und Swordi ? *grins*

Das Problem bei den Berechtigungen ist imho das gleiche wie bei dem lesen der AGBs wenn man ein Online Spiel installiert: jeder ist nur daran interessiert die App/das Game zu sehen und nimmt sich keine Zeit die Berechtigungen / die AGB zu lesen und dann zu entscheiden ob man die App / das Game überhaupt noch testen will...

DetWAR schrieb:
Installiert euch mal das kostenlose App aSpotCat, damit könnt ihr euch genau Anzeigen lassen welche App welche Rechte beansprucht. Ihr werdet staunen ...

und installiert !

edith sagt: Kaloer Clock deinstalliert, da die App meine SMS/MMS lesen kann.
 
Zuletzt bearbeitet:
Naja, ein bisschen hinkt der Vergleich - die Berechtigungen sind normalerweise doch deutlich weniger und verständlicherer Text... Außerdem sind bei den AGB die richtig bösen Hämmer ohnehin gesetzlich nich erlaubt.

Ich denke, das wirkliche Problem ist eher, dass man ohne Quelltextanalyse nicht weiß, wofür die Berechtigungen benötigt werden. Wie schon gesagt: 'ne Mail-App bekommt selbstverständlich die Rechte für Kontakte und Internet - aber damit könnte sie auch heimlich das Adressbuch versenden. Anrufsignalisierung und Internet bei Medienplayern hab ich ja auch schon erwähnt (wobei der MortPlayer bisher ja ohne Internet auskommt).
Wirklich sicher wäre man nur, wenn man jeden Internet-Zugriff mit allen Daten abnicken lassen würde - aber dann wäre man auf einem modernen Smartphone nur noch mit Kontrolle und Bestätigen beschäftigt.

Interessant aber auch, dass die Diskussion scheinbar erst mit den Smartphones so richtig aufkommt. Auf dem PC ist es auch keine Hexerei, mit irgendeinem Freeware-Trojaner die Outlook-Daten auszulesen und zu verschicken. Und da wird noch nicht mal nach Berechtigungen gefragt.
 
Mort schrieb:
Naja, ein bisschen hinkt der Vergleich - die Berechtigungen sind normalerweise doch deutlich weniger und verständlicherer Text... Außerdem sind bei den AGB die richtig bösen Hämmer ohnehin gesetzlich nich erlaubt.

§ 307 BGB gilt aber für Software-EULAs erstmal nicht, solange sie nicht öffentlich aushängen.

Interessant aber auch, dass die Diskussion scheinbar erst mit den Smartphones so richtig aufkommt.
Das denke ich auch. Ich hab neulich wieder etwas erlebt, das werd ich nie vergessen.
Vielleicht kenne manche die Steam-Plattform von Valve. Für die, die es nicht kennen, es ist ne Spieleplattform, die bei vielen arg in der Kritik steht, da man gekaufte Spiele darauf aktivieren muss, was unter anderem dazu führt, dass man sie nicht wieder verkaufen kann, da sie accountgebunden sind oder man ohne den Account, der theoretisch gesperrt werden könnte, nicht mehr spielen kann, usw.

Jedenfalls hat sich in einem Forum ein Kritiker darüber ereifert und gleichzeitig wutentbrannt erzählt, dass sein Account auch gehackt wurde und das das System völlig unsicher sei und das es eine riesige Sicherheitslücke gäbe und man die Accounts ganz einfach hacken könne und das das alles eine riesen Schweinerei sei und es dem Hersteller, dem er schon viele Mails geschrieben habe, völlig egal sei.

Auf Nachfrage hat er mir dann ein Video der Sicherheitslücke gezeigt, in dem gezeigt wird, wie einfach man doch das System hacken könne:

YouTube - ! NEW ! Steam Account Hacker (IN NUR 2 MINUTEN!) + Downloadlink

Danach war mir auch klar, wie sein Account gehackt wurde. :D

Viele unterschätzen einfach die Verantwortung, die sie haben. Wer am Netz der Netze teilnimmt ist meiner Meinung nach auch dafür verantwortlich, sein System zu schützen. Natürlich mangelt es den meisten an Fachkenntnis und dem Verständnis dafür, was man ihnen dann auch nicht vorwerfen kann. Man sollte kein IT-Experte sein müssen, um sein System sicher halten zu können. Es ist wahrlich ein Dilemma!

Und wer sagt uns eigentlich, was die von uns so geschätzten ROMs mit unseren Smartphones anstellen?

PS: Ich würde diesen "Bot" eher als Spyware bezeichnen. Ein Bot ist was anderes. :)
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: superSonic
Das Video kapier ich nicht...

Die hacken doch keine Accounts sondern senden dem Typen nur ihre Accountdaten mit Passwort zu?
 
Comguard schrieb:
Das Video kapier ich nicht...

Die hacken doch keine Accounts sondern senden dem Typen nur ihre Accountdaten mit Passwort zu?

Das ist richtig, deshalb steht in den Kommentaren auch:

"The passwords don't work."

Und zwei Tage später kotzen sich diesselben Leute in irgendeinem Forum aus, ihr Account sei gehackt worden und was Steam doch für eine Schweinerei sei und wie unsicher das doch alles sei und posten dann zum Beweis solche Videos. ;-)
 
Zuletzt bearbeitet:
Dummheit müsste weh tun ... aber dann würde man vor lauter Schmerzensschreien sein eigenes Wort nicht mehr verstehen.
 
DetWAR schrieb:
Dummheit müsste weh tun ... aber dann würde man vor lauter Schmerzensschreien sein eigenes Wort nicht mehr verstehen.
Wenn man denn vor lauter Schreien noch Worte formulieren könnte.
Zum Glück oder leider (je nach dem...) erkennt man seine eigene Dummheit aber meist erst viel später. Oder überhaupt nicht.
(*räusper* Aber nun wieder BTT...)
 
@steam-account-hacking: Einfach nur großartig! *sich kugelt*
 

Ähnliche Themen

S
Antworten
28
Aufrufe
771
Anz
Anz
U
Antworten
53
Aufrufe
4.013
BonnieBO
BonnieBO
S
Antworten
1
Aufrufe
346
holms
holms
Zurück
Oben Unten