Studie
18.04.2017, 22:19 Uhr
Android Apps tauschen ungewollt Daten aus
Eine Studie zeigt: Apps können miteinander kommunizieren und so an Daten kommen – auch ohne Rechte.
Collusive Data Leak nennt sich das Phänomen, das ein Team aus vier Forschenden der Southern Illinois University entdeckte. Das Papier handelt davon, dass mehrere installierte Apps auf einem Android-Smartphone zusammenarbeiten, um an Daten des Nutzers zu kommen.
Über 100'000 Apps hat das Forscherteam auf Android-Smartphones heruntergeladen und beobachtete die Synergien, die sich zwischen den Programmen ergaben. Aus Datenschützersicht war das Resultat erschreckend: Bei fast 24'000 Paar-Konstellationen der Apps können Daten abhanden kommen, bei rund 17'000 Verbindungen kam es zu sogenannter Privilege Escalation. Bei einer Privilege Escalation erhält eine App Daten, auf die sie sonst keinen Zugriff hat. Statt den Zugriff beim User zu erbitten, holt sich die App die Daten einfach von Apps, denen der Zugriff erlaubt wurde.
Das ist allerdings dem Betriebssystem selbst zuzuschreiben: Dieses verfügt nämlich über die Funktion namens Inter-Component Communication (ICC), die den Austausch zwischen Daten erleichtern soll – aber freilich eher für Dinge wie Bilderfreigaben u.ä. gedacht war.
Ein Beispiel für die Privilege Escalation zeigten die Forscher an einer Gebets-App vor. Diese erfragt den Standort des Nutzers und bietet die Information anderen Apps an. Rund 1500 dieser Apps haben die Daten dann übernommen.
Auch wenn schlussendlich die wenigsten Apps tatsächlich solche heiklen Daten streuten, raten die Forscher dazu, heikle Daten nicht über die allgemeine Freigabe zu teilen.
Über 100'000 Apps hat das Forscherteam auf Android-Smartphones heruntergeladen und beobachtete die Synergien, die sich zwischen den Programmen ergaben. Aus Datenschützersicht war das Resultat erschreckend: Bei fast 24'000 Paar-Konstellationen der Apps können Daten abhanden kommen, bei rund 17'000 Verbindungen kam es zu sogenannter Privilege Escalation. Bei einer Privilege Escalation erhält eine App Daten, auf die sie sonst keinen Zugriff hat. Statt den Zugriff beim User zu erbitten, holt sich die App die Daten einfach von Apps, denen der Zugriff erlaubt wurde.
Das ist allerdings dem Betriebssystem selbst zuzuschreiben: Dieses verfügt nämlich über die Funktion namens Inter-Component Communication (ICC), die den Austausch zwischen Daten erleichtern soll – aber freilich eher für Dinge wie Bilderfreigaben u.ä. gedacht war.
Ein Beispiel für die Privilege Escalation zeigten die Forscher an einer Gebets-App vor. Diese erfragt den Standort des Nutzers und bietet die Information anderen Apps an. Rund 1500 dieser Apps haben die Daten dann übernommen.
Auch wenn schlussendlich die wenigsten Apps tatsächlich solche heiklen Daten streuten, raten die Forscher dazu, heikle Daten nicht über die allgemeine Freigabe zu teilen.