Embed Size (px)
Citation preview
WENN ANDROID-APPS MEHR BERECHTIGUNGEN VERLANGEN ALS NÖTIG...
App-Berechtigungen – Grundlagen
* Der Android-Roboter in diesem E-Book wurde gemäß den Bedingungen der Creative Commons Attribution-Lizenz von Google zur Verfügung gestellt.
Sie haben gerade erst ein Android-basiertes Smartphone gekauft. Doch was nun? Natürlich das Aufregendste an der ganzen Sache: Apps herunterladen, die das Smartphone zum Alleskönner machen! Vielleicht möchten Sie sogar das eine oder andere Spiel, einen Film oder einen MP3-Player herunterladen. Mit Android können Sie Ihr Gerät ganz nach eigenen Wünschen gestalten. Deshalb entscheiden sich Anwender, die ein möglichst einzigartiges Smartphone ihr Eigen nennen wollen, für Android-Geräte.
Die Flexibilität bei der individuellen Gestaltung eines Android-basierten Smartphones und die breite Palette der im Google Play Store erhältlichen Apps sind nur zwei Gründe für die unaufhaltsam wachsende Popularität des Betriebssystems.
Nach einem aktuellen Bericht von Canalys waren fast 50 Prozent der 107 Millionen im zweiten Quartal 2011 weltweit verkauften Smartphones mit dem Betriebssystem Android ausgestattet. Über 39 Millionen Android-basierte Smartphones wurden allein im asiatisch/pazifischen Raum verkauft.
Einem Bericht von Nielsen zufolge sind Android-Geräte in den USA mittlerweile sowohl beim Marktanteil als auch bei der Datennutzung führend. Nielsen geht ferner davon aus, dass Nutzer von Android-basierten Geräten im Durchschnitt 35 Apps installieren.
APPS HOLEN BERECHTIGUNGEN EIN, DAMIT SIE EINGESETZT WERDEN KÖNNENStellen Sie sich eine Android-App als einen Hotelgast vor. Jeder Gast erhält eine Zugangskarte, mit der er Zutritt zu seinem Zimmer, zum Eingangsbereich, zur Bar und möglicherweise zu weiteren Bereichen des Hotels hat. Mit dieser Karte gelangt er allerdings weder in die Küche noch in das Büro des Hotelmanagers.
Wie ein Hotelgast benötigt jede von Ihnen auf Ihrem Gerät installierte Android-App bestimmte Berech ti gun-gen (eine „Zugangskarte“), damit sie verwendet werden kann. Anhand der von Ihnen erteilten Berechtigungen erkennt jede App, welche der auf dem Gerät verfügbaren Ressourcen sie nutzen kann.
Viele Apps erweitern den Funktions-umfang eines Android-basierten Geräts. Entsprechend sind nicht alle Apps, die mehrere Berechtigungen anfordern, bösartig.
Für Android-basierte Geräte gibt es keine komplette Liste aller Berech ti-gun gen. Die von den Apps in der Regel angeforderten Berechtigungen sind jedoch für App-Entwickler im Android Software Development Kit (SDK) aufgeführt.
Auch auf der Website Android Developers finden Sie die sogenannte Manifest.permission-Liste mit den Berechtigungen, die Apps benötigen, um auf Android-basierten Geräten eingesetzt werden zu können.
Apps bitten den Anwender um die Erteilung einer Berech tigung für den Zugriff auf bestimmte Funktionen. Auf diese Weise soll die Verbreitung bösartiger Apps auf Android-basierten Geräten weitgehend unter-bunden werden. Daher mani-pu lieren Cyberkriminelle legitime Apps mithilfe von Trojanern, die Geräte infizieren und schädliche Aktivitäten ausführen.
Derzeit können fast 250.000 Apps aus dem Google Play Store heruntergeladen werden. Cyber kriminelle haben es beim Datendiebstahl ver-mutlich wegen der riesigen Anwender basis auf Android abgesehen.
HÖHERES RISIKO AUFGRUND ZU VIELER BERECHTIGUNGENApps fordern schon vor ihrer Installation bestimmte Berechtigungen an, damit ihre Verwendung möglich ist. Lesen Sie die Endbenutzer-Lizenzvereinbarungen (EULAs) der Apps sorgfältig, um sich einen Überblick über ihren Zweck zu verschaffen. Apps können ihren Zweck nur erfüllen, wenn Sie ihnen die entsprechenden Berechtigungen erteilen.
Viele Apps fordern eine Berechtigung für den Netzwerkzugriff an, damit Updates heruntergeladen werden können. Einige Apps fordern die Berechtigung zum Lesen des Status und der Identität Ihres Telefons an, damit ihre Ausführung nicht durch Anrufe unterbrochen wird. Diese Berechtigungen können allerdings von Apps, die zur Durchführung schädlicher Aktivitäten mit Trojanern manipuliert wurden, missbraucht werden und Informationen wie die International Mobile Equipment Identity-Nummer (IMEI) an eine Befehlszentrale senden.
Nach der Installation können Sie überprüfen, welche Berechtigungen für eine App erteilt wurden. Navigieren Sie dazu auf einem Android 2.2. (Froyo)-basierten Telefon zu Einstellungen > Anwendungen > Anwendungen verwalten. Wählen Sie die App aus, deren Berechtigungen Sie anzeigen möchten, und führen Sie einen Bildlauf aus.
Im August 2010 wurden wir auf den ersten Android-Trojaner aufmerksam, der SMS-Nachrichten an bestimmte Telefonnummern sandte. Ein Großteil der seitdem aufgetretenen Android-Malware führt eine oder mehrere bösartige Aktivitäten aus, darunter Datendiebstahl, Ermöglichen des Remote-Zugriffs (Backdoor-Apps), Zugriff auf betrügerische Websites (Aktivierung von Klickbetrug), Abhören von Anrufen und Lesen persönlicher SMS-Nachrichten und Kontaktinformationen (mobile Spione), Herunterladen weiterer Malware (Downloader) und Erwerben von Root- oder Verwaltungsrechten (Rooting-Aktivierung).
Im Folgenden finden Sie eine Liste der Berechtigungen, die von Trojanern manipulierte Apps in der Regel anfordern.
NetzwerkkommunikationDurch Gewähren der Netzwerkkommunikation können Apps auf Internet- oder Bluetooth-fähige Geräte zugreifen. Diese Android-Berechtigung wird am häufigsten missbraucht, denn bösartige Apps können nur bei Internetzugang mit ihren Befehlszentralen kommunizieren und Updates herunterladen. Wenn Anwender diese Berechtigung erteilen, können mobile Spione und für den
Datendiebstahl konzipierte Malware die gestohlenen Informationen an Dritte weiterleiten. Bleibt die Bluetooth-Schnittstelle eingeschaltet,
könnte künftig für Android-Geräte ein ähnliches Risiko für Malware-Infektionen wie beim älteren Betriebssystem Symbian OS bestehen.
Kostenpflichtige DiensteDer erste Android-Trojaner missbrauchte diese Berechtigung, d. h. die Rechte
SMS-Nachrichten senden, Anrufe und Speicher. Wurden diese Rechte erteilt, konnte der Trojaner SMS-Nachrichten an bestimmte Premium-Nummern senden. Den Anwendern wurden die Gebühren für teure Premium-Dienste in Rechnung gestellt, die sie überhaupt nicht nutzten. Bei dieser Art von Betrug zahlen Cyberkriminelle für bestimmte Premium-Nummern und erzielen mit jeder von einem infizierten Android-Gerät gesendeten SMS einen Gewinn.
AnrufeUns ist auch Malware bekannt, die diese Berechtigung ausnutzt, um Anrufprotokolle von infizierten Android-Geräten zu stehlen. Das Protokoll wird als TXT-Datei gespeichert und an eine Befehlszentrale gesendet. Anrufprotokolle sind ein beliebtes Zielobjekt beim Datendiebstahl, denn sie bieten weitere Informationen zu den betroffenen Nutzern. Wenn bösartigen Apps Berechtigungen für Anrufe erteilt werden, können sie Ihre Gespräche aufzeichnen und SMS-Nachrichten stehlen. Das Risiko ist in diesem Fall umso größer für Anwender, die ihr Android-Gerät für Onlinebanking nutzen, da ihre über SMS oder telefonisch bereitgestellten Anmeldeinformationen schnell in die Hände von Cyberkriminellen fallen können.
SystemtoolsAndere Malware nutzt Berechtigungen wie Automatisch nach dem
Booten starten, WLAN-Status ändern, Netzwerkverbindung ändern und Schlafmodus verhindern aus, um eigene bösartige Dienste auszuführen. Ein typisches Beispiel: Eine Spiele-App muss beim Einschalten Ihres Telefons nicht automatisch gestartet werden. Daher muss ihr keine entsprechende Berechtigung erteilt werden. Dieses Verhalten legt die Vermutung nahe, dass das eigentliche Ziel
der App darin besteht, beim Einschalten des Telefons im Hintergrund einen bösartigen Dienst auszuführen.
Speicher Wenn Sie einer App die Berechtigung erteilen, den Inhalt Ihrer SD-Karte zu
verändern oder zu löschen, kann sie beliebige Inhalte auf der Karte lesen, schreiben und/oder löschen. Für den Datendiebstahl konzipierte Malware missbraucht diese Berechtigung, um eine Kopie der
gestohlenen Informationen zu speichern oder eine TXT-, INI- oder ähnliche Datei auf Ihrer SD-Karte zu speichern und diese dann an eine
Befehlszentrale zu senden. Auf diese Weise ist die bösartige App ferner in der Lage, vorhandene Dateien auf Ihrer SD-Karte zu überschreiben.
Ihr StandortEine erwähnenswerte datenstehlende Malware für Android forderte beispielsweise die Berechtigung an, den geografischen Aufenthaltsort des Anwenders zu ermitteln. Solche Informationen können Möglichkeiten für Verbrechen in der realen Welt, wie beispielsweise Stalking, eröffnen. Online können diese Informationen beispielsweise zum Versenden von Spam oder Malware in einer bestimmten Region verwendet werden.
Ein Großteil der von uns untersuchten Android-Malware forderte mindestens drei Berechtigungen an, die für ihren eigentlichen Zweck irrelevant waren. Damit lässt sich die Legitimität beim Installieren von Apps ganz leicht überprüfen. Wägen Sie das Für und Wider von Berechtigungen für eine App genau ab, bevor Sie diese erteilen. ANDROIDOS_SPYGOLD.A, die beispielsweise Fast Racing mit einem Trojaner manipulierte, forderte mehrere Berechtigungen an, die für die übliche Verwendung einer solchen Spiele-App normalerweise nicht nötig sind.
WIE KÖNNEN SIE DAS ERTEILEN ZU VIELER BERECHTIGUNGEN FÜR APPS VERMEIDEN?Ebenso wie es Ihnen freisteht, beliebige Apps auf Ihrem Android zu installieren, liegt auch die Verantwortung, die Installation von Malware zu vermeiden, bei Ihnen.
Weitere Tipps und Tricks zum Schutz Ihrer Daten vor bösartigen Apps finden Sie in unserem E-Book „Fünf einfache Schritte, um Ihr Android-basiertes Smartphone zu schützen“. Halten Sie sich außerdem die folgenden drei Tipps vor Augen, um das Erteilen zu großzügiger Berechtigungen zu vermeiden:
1. Informieren Sie sich genauer über eine App, bevor Sie sie herunter-laden und installieren. Finden Sie heraus, wer sie entwickelt hat, und lesen Sie die Meinungen anderer Anwender zu der App und ihrem Entwickler. Diese Informationen erhalten Sie in den entsprechenden Kommentaren im Google Play Store oder im App-Store von Dritt-an bietern. Es empfiehlt sich auch, die Bewertung des App-Stores zu prüfen.
Denken Sie aber daran, dass Malware häufig legitime Apps mit einem Trojaner manipuliert, um Anwender zum Download zu animieren.
2. Achten Sie daher sorgfältig darauf, welche Berechtigungen eine App an-fordert. Denken Sie daran, dass die meisten mit einem Trojaner manipu-lierten Apps durchaus wie legitime Apps wirken. Sie fordern lediglich mehr Berechtigungen an, als sie für ihren eigentlichen Zweck benötigen.
Wenn Sie beispielsweise einen Medienplayer herunterladen und installieren, der Sie auffordert, ihm die Berechtigung zum Senden von SMS-Nachrichten zu erteilen, sollten Sie genau überlegen, ob Sie die Vertragsbedingungen akzeptieren möchten. Natürlich fordern auch einige legitime Apps diverse Berech tigungen an. Eine App, die eine auffallend hohe Anzahl von Berech ti-gungen anfordert, sollte Sie allerdings stutzig machen, denn möglicherweise werden damit Ihr Gerät und Ihre Daten einem erheblichen Risiko ausgesetzt.
3. Es empfiehlt sich, die Anschaffung einer mobilen Sicherheitssoftware ins Auge zu fassen, die nicht nur Ihr Telefon, sondern auch die gespeicherten Daten schützt. Lösungen wie Trend Micro™ Mobile Security Personal Edition können Malware identifizieren und stoppen, bevor sie Ihr Telefon erreicht. Diese Lösung basiert auf den gleichen Technologien wie das Trend Micro™ Smart Protection Network™ und schützt Ihre Android-basierten Geräte wirksam vor aktueller Malware.
TREND MICRO™
Trend Micro Incorporated leistet Pionierarbeit im Bereich Content-Security und bei der Bewältigung von Bedrohungen. Das 1988 gegründete Unternehmen bietet Privatpersonen und Unternehmen jeder Größe mehrfach ausgezeichnete Sicherheits software, -hardware und -services. Der Haupt-firmen sitz befindet sich in Tokyo. Trend Micro unterhält Nieder lassungen in über 30 Ländern und vertreibt seine Produkte weltweit durch Corporate- und Value-Added-Reseller und Service-Provider. Weitere Informationen und Testversionen der Trend Micro Produkte und Services finden Sie auf unserer Website unter www.trendmicro.com.
© 2011 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder einge-tragene Marken ihrer jeweiligen Eigentümer.
TREND MICRO Deutschland GmbHCentral & Eastern Europe
Zeppelinstraße 185399 Hallbergmoos
Tel.: +49 (0) 811 88990-700Fax: +49 (0) 811 88990-799E-Mail: [email protected]
TREND MICRO (Schweiz) GmbH
Schaffhauserstrasse 104CH-8152 Glattbrugg
Tel.: +41 43 233 77 81Fax: +41 43 233 77 83
www.trendmicro.com
