Wer eine App aus dem Android Market auf seinem Smartphone installiert, muss mal mehr, mal weniger umfassende Berechtigungen erteilen. Oft genug klingen diese eher harmlos, aber wenn sich der interessierte Anwender etwas mehr mit der wahren Bedeutung beschäftigt, ist es manchmal mit der Nachtruhe vorbei. Die Daten auf dem Handy lassen sich nämlich ausspähen und ohne explizites Zutun des Besitzers an beliebige Ziele senden. Auch andere Fallen lauern. Aus diesem Grund werfen wir mal einen Blick in die Abgründe von Android.
Böse Gedanken
Google hatte es sicherlich seinerzeit sehr gut gemeint, als die Entwickler auf die glorreiche Idee gekommen waren, Apps mit unterschiedlichen Berechtigungen auszustatten. Immerhin verbindet das Betriebssystem alle erdenklichen Schnittstellen, die untereinander kommunizieren.
Latitude etwa erfasst via GPS den Standort des Besitzers und leitet über das Internet diese Informationen an angemeldete und bestätigte Bekannte weiter. So lässt sich erkennen, ob der eine oder andere Kumpel gerade in der Nähe ist, mit dem er sich ja mal auf ein Bierchen treffen könnte.
Es könnte aber auch die misstrauische Ehefrau sein, die herausfinden möchte, ob der werte Gemahl seine „Überstunden“ im Appartement der Sekretärin ableistet. Gute Ideen haben nun mal leider den Nachteil, dass sie sich auch für ungute Vorhaben missbrauchen lassen. Beispiele gibt es hierfür genug. Wir suchen uns mal einen ganz prägnanten Kandidaten heraus.
Facebook
Datenkrake Facebook ist hinlänglich dafür bekannt, es nicht sonderlich genau mit den Persönlichkeitsrechten der angemeldeten Mitglieder zu nehmen. Bestätigt wird dies durch die hoch gehypte App für Android-Geräte. Wer sich im Market eine App herunterlädt, wird zunächst aufgefordert, bestimmte Berechtigungen zu erteilen. Hier gilt die Sekt-oder-Selters-Politik. Entweder, Sie stimmen allen Berechtigungen zu oder aber die App wird niemals den Weg auf Ihr Handy finden. Die Liste der Berechtigungen der Facebook-App kann dem interessierten Anwender durchaus den Atem rauben.
Zwei Seiten einer Medaille
Grundsätzlich gilt, dass keine dieser Berechtigungen in böser Absicht implementiert wurde. Ganze 116 dieser Kandidaten können Android-Entwickler ihrer App mitgeben. Vielfach sind sie sinnvoll, in einigen Fällen sogar relativ harmlos. Oft ist es aber auch so, dass sie missbräuchlich verwendet werden können.
Wir können in diesem Artikel auch unmöglich jede einzelne dieser Berechtigungen benennen und beschreiben. Ein ganz großes Problem dabei ist, dass Google die Apps im Market keinerlei Qualitätskontrolle unterzieht – anders bei Apple oder Microsoft. Vielmehr verlassen sich die Macher auf die Community, die Schadprogramme meldet.
Das ist für Google zwar sehr wirtschaftlich, bedingt auf der anderen Seite aber, dass einzelne Anwender erst mit Malware auf die Nase fallen müssen, ehe diese als solche erkannt wird. Es ist daher durchaus sinnvoll, sich zunächst genau die Beschreibung und vor allem die Nutzerbewertungen durchzulesen, ehe Sie sich selbst womöglich eine Laus in den Pelz setzen.
Spreu und Weizen
Woran erkennen Sie als Anwender, ob eine App jetzt bösartig ist oder nicht? Genau genommen, können Sie das gar nicht. Google hatte in der Vergangenheit bereits zahlreiche augenscheinlich nützliche Programme aus dem Market entfernt, weil diese sich als Trojaner entpuppt hatten.
Gerade bei Apps, die relativ neu sind und bei denen naturgemäß noch keine User-Bewertungen vorliegen, können Sie sich kaum einen Reim darauf machen, ob wirklich keine böse Absicht dahinter steckt. Kostenfreie Apps werden oft werbefinanziert. Das bedingt einen uneingeschränkten Internet-Zugriff, denn von dort werden die Werbebanner auf Ihr Handy geladen.
Dahinter steckt also noch keine verwerfliche Absicht seitens des Programmierers. Im Allgemeinen können Sie auch davon ausgehen, dass Ihnen außer Bannereinblendungen nichts weiter blüht. Aber Sie wissen ja: Vorsicht ist die Mutter der Porzellankiste.
Vier Tipps um in keine Falle zu tappen
- Lesen Sie sich die Beschreibungen genau durch. Wenn ein Homepage-Link zur Seite des Herstellers angegeben ist, werfen Sie auch ruhig mal einen Blick darauf.
- Wenn eine Berechtigung kritisch erscheint, scheuen Sie sich nicht, den Support des Herstellers anzuschreiben. Wer seriös vorgeht, wird Ihnen auch umfassend Auskunft erteilen.
- Es hilft Ihnen auch nicht, wenn Sie hinter jeder Berechtigung eine Falle vermuten. Meist lassen sich diese nämlich einkreisen, indem Sie Berechtigungen sachlich hinterfragen. Eine Browser-App ist zum Beispiel erfrischend nutzlos, wenn sie nicht uneingeschränkt auf das Internet zugreifen kann. Auch andere Berechtigungen, die Funktionen betreffen, die augenscheinlich völliger Blödsinn sind, sind nicht unbedingt bösartig. Ein Beispiel ist ein Helferlein für Android, das dem Anwender ermöglicht, ein Ei perfekt zu kochen. Dazu werden auch die GPS-Daten herangezogen, um die Höhenmeter zu berechnen, die wiederum die Kochzeit beeinflussen.
- Was für Windows gilt, trifft auf Android zumindest im gleichen Maße zu: Wenn Sie mit Ihrem Handy auch online sind, ist entsprechende Schutzsoftware unumgänglich. Gute Apps dieser Art enttarnen auch bösartigen Code in vermeintlich seriösen Apps und Sie sind vor unerfreulichen Überraschungen zumindest relativ sicher.
Gefährliche Apps
Bereits Mitte Dezember hat der Hersteller der Sicherheits-App „Lookout“ in seinem Blog eine recht umfangreiche Liste an Apps veröffentlicht, die Premium-SMS-Dienste klammheimlich nutzen, um dem Benutzer das Geld aus der Tasche zu ziehen. Vor allem Anwender in Europa und damit auch im deutschsprachigen Raum können davon betroffen sein.
Google wurde zwar darüber informiert und hat die fraglichen Kandidaten umgehend aus dem Market verbannt, aber damit ist nicht auszuschließen, dass nicht auf dem einen oder anderen Smartphone eine solche Zeitbombe schlummert. In Summe kann festgehalten werden, dass vor allen Dingen kostenfreie Varianten beliebter Spiele und ähnlicher besonders beliebter Apps vermehrte Aufmerksamkeit verdienen.
Vor allem die Berechtigung für den automatischen Versand von SMS sollte bei solchen Apps die Alarmglocken schrillen lassen. Der leider englischsprachige Blog-Eintrag kann unter bit.ly/lookoutblog nachgelesen werden.
Pages: 1 2