Forscher zeigen auf, wie Apps Sicherheitsmaßnahmen aushebeln - Android 10 bringt Abhilfe

Das Berechtigungsmodell von Android soll eigentlich garantieren, dass die Nutzer selbst bestimmen können, auf welche Informationen einzelne Apps Zugriff haben.Soweit zumindest die Zielsetzung, in der Vergangenheit haben App-Hersteller aber immer wieder Wege gefunden, um diese Sperren auszutricksen. Welcher Tricks sich dabei manche Apps bedienen, und wie verbreitet dieses Phänomen ist, zeigt nun eine aktuelle Studie auf (PDF), die im Rahmen der PrivacyCon 2019 präsentiert wurde.

Besonders verbreitet ist der Versuch, Android-Geräte App-übergreifend eindeutig zu identifizieren - etwas das Google aus Privacy-Gründen über die Jahre immer weiter erschwert hat. Dabei bedient man sich der IMEI, also jener eindeutigen Hardwarekennung, die jedes Smartphone aufweist.

Ein weiterer eindeutiger Identifikator eines Smartphones ist die MAC-Adresse, die von der Netzwerkhardware geliefert wird. Entsprechend wird auch diese an sich über eine Berechtigung abgesichert. Doch auch hier haben einige Apps Wege gefunden, die Sperren des Betriebssystems auszuhebeln.

70 der untersuchten Apps erfassen die Bewegungen der Nutzer ohne Zugriff auf die Standortberechtigung zu haben. Dabei greifen sie kurzerhand auf am Gerät gelagerte Fotos zu, und lesen die dort gespeicherten EXIF-Daten aus.