In den letzten Wochen wurde viel über eine neue “Security App” mit dem Namen “SRT AppGuard” geschrieben und berichtet, die am 05. Juli 2012 von der Fa. Backes SRT auf den Markt gebracht wurde. Die Fa. Backes SRT bezeichnet diese App als eine “innovative Android-Anwendung die es ermöglicht die Sicherheit Ihres Android-Geräts zu erhöhen”
Ob das so ist und was mir zu dem Ansatz von Backes SRT an Gedanken durch den Kopf geht möchte ich hier berichten.
Zunächst wurde die App im Google Play Store angeboten und auch ca. 40.000 Mal heruntergeladen. (Quelle:Saarbrücker Zeitung) Danach wurde die App “SRT AppGuard” aus dem Google Play Store verbannt und ist seither nur mehr von der Homepage des Herstellers herunter zu laden. Ich zumindest frage mich, warum Google zu dieser Maßnahme gegriffen hat, macht doch das Unternehmen, zumindest auf den ersten Blick, einen seriösen Eindruck und gibt vor um die Sicherheit des Anwenders bemüht zu sein.
Die Verbannung aus dem Google Play Store hinterlässt allerdings erste Kratzer an diesem Image wie ich finde, weil so ganz ohne Grund wird auch eine Fa. wie Google eine App nicht so einfach aus seinem App-Store verbannen. Aber schauen wir uns die Fakten mal der Reihe nach an und fällen unser Urteil am Schluss der Betrachtungen.
Was also tut dieser SRT AppGuard nun eigentlich?
In kurzen Worten würde sich das in etwa so lesen: Der SRT AppGuard analysiert ,deinstalliert modifiziert und installiert die jeweilige App erneut in einer modifizierten Version, die es dann ermöglicht gewisse “Sicherheits relevante Funktionen” zu deaktivieren, bzw. zu überwachen.
Die detailliertere Beschreibung liest sich dann so: Der SRT AppGuard ist eine Sicherheitssoftware für das mobile Betriebssystem Android. Sie ermöglicht dem Benutzer, das Verhalten von Android Apps von Drittanbietern zu überwachen und gegebenenfalls den Zugriff auf sicherheitskritische Systemressourcen zu verweigern. Der SRT AppGuard implementiert dazu folgende Funktionalität: Der Benutzer wählt eine bereits installierte App aus, die überwacht werden soll. Der SRT AppGuard untersucht den Bytecode (den kompilierten Quellcode) der App und identifiziert jene Instruktionen, die sicherheitsrelevante Funktionen der Android API (Android-Programmierschnittstelle, -Programmanbindung) aufrufen.
An diesen Stellen fügt der SRT AppGuard zusätzlichen Programmcode ein (Instrumentierung), der den Zugriff auf diese sicherheitsrelevanten Funktionen protokolliert und kontrolliert. Nach Abschluss dieses Prozesses wird die bestehende Original-App deinstalliert und durch die instrumentierte Version ersetzt; dieser Schritt muss durch den Benutzer explizit bestätigt werden.
Nur durch dieses Vorgehen ist die Funktionalität des SRT AppGuard gewährleistet. Sollten Sie mit dieser Funktionalität nicht einverstanden sein, installieren Sie den SRT AppGuard nicht.
(Quelle: Lizenzbedingungen der Fa. Backes SRT)
So weit so gut, aber was bedeutet das nun im Besonderen?
Rein rechtlich ist die App „SRT AppGuard“ schon höchst bedenklich – ich lasse mal AGB von Google außen vor. SRT AppGuard könnte aber zum einen urheberrechtlich problematisch sein, da in die Urheberrechte des Entwicklers der veränderten App nach 69a UrhG eingegriffen wird. Zwar ist die Bearbeitung der App für den privaten Gebrauch noch zulässig, jedoch dürften die Rechte aus § 14 UrhG (Entstellung) und auch §69c Nr. 2 UrhG (Zustimmungsbedürftige Handlungen bei Computerprogrammen) je nach Zweck der App beeinträchtigt sein. Zivilrechtlich also sehr bedenklich. Und auch strafrechtlich ist die App SRT AppGuard durchaus problematisch: Die Dekompilierung der App könnte einen Verstoß nach §§ 202a, 303a StGB bedeuten. Sollte der Hersteller von „SRT AppGuard“ sein Programm nicht selber getestet haben, könnte mit SRT AppGuard zumindest ein Programm zugänglich gemacht werden, welches eine Straftat nach 202a StGB ermöglich, was nach § 202c Abs. 1 Nr. 2 StGB strafbar sein könnte.
Anmerkung: Obige Angaben zum UrhG und StGB beziehen sich auf das Deutsche UrhG und StGB.
Der nächste, wichtige Punkt ist der verlorene Link der betroffenen, also von SRT AppGuard überwachten bzw. veränderten App, zum Google Play Store. Die betroffene, vom SRT AppGuard modifizierte App, wird keinerlei automatisierte Updates mehr aus dem Google Play Store erhalten, weil der Google Play Store dieses aufgrund der Modifikationen nicht mehr erkennen kann. Security Updates dieser App werden den Anwender also niemals erreichen!
Technisch begründet sich dies in der zwangsläufig veränderten Signatur der App, die der SRT AppGuard natürlich nicht erhalten kann. Der SRT AppGuard muss, bedingt durch die Modifikation der App, eine eigene Signatur in die App einfügen, damit diese auch vom Smartphone als valide anerkannt werden kann. (Ich werde hier beispielhaft später noch auf diesen Punkt eingehen)
Nicht unerwähnt sollte auch die Tatsache bleiben, dass die Modifikationen welche der SRT AppGuard in den App’s vornimmt, dazu führen können, dass die modifizierte App nicht mehr so funktioniert wie sie eigentlich sollte. Im Zweifelsfall kann das zu einer wesentlich höheren Gefährdung des Anwenders führen als ohne den SRT AppGuard.
(Auch hierzu werde ich später noch weitere Ausführungen schreiben)
Ein ebenfalls wichtiger Punkt, der an keiner Stelle Erwähnung findet, ist die Tatsache, dass eine durch den SRT AppGuard veränderte App nach der Deinstallation des SRT AppGuard wieder ganz normal funktioniert. Der SRT AppGuard muss also installiert bleiben, um die entzogenen Funktionen dauerhaft zu entziehen.
Zusammengefasst kann man also sagen, dass diese App unrechtmäßig andere Apps verändert, aktiv deren Update, bzw. die Benachrichtigung über Updates aus dem Google Playstore, verhindert und andere Apps ggf. sogar unbrauchbar macht.
Dem Anwender wird hier, meiner Meinung nach, eine doch sehr zweifelhafte Sicherheit vorgegaukelt, die in Wirklichkeit nicht besteht. Warum das so ist, möchte ich an einem praktischen Beispiel einmal demonstrieren.
Nehmen wir eine App, die sich auch um die Sicherheit des Anwenders bemüht, den Logman Logcat Überprüfung, eine von mir selber entwickelt App, an der ich auch die Urheberrechte halte. Diese App benötigt folgende Berechtigungen um zu funktionieren:
Inhalt des USB-Speichers ändern/löschen
Sensible Logdaten auslesen
Telefonstatus und Identität lesen
Die wesentlichen Aufgaben dieser App bestehen darin, IMEI, IMSI, Telefonnummer und Seriennummer der Sim-Karte auszulesen und dann das Logcat des Devices nach Einträgen zu durchsuchen welche einen dieser Parameter beinhalten. Wir ein solcher Eintrag gefunden, wird der Anwender aktiv darauf hingewiesen und die Gefährdung wird ihm erklärt.
Nun habe ich den SRT-AppGuard installiert und ihn angewiesen diese App “Logman” zu überwachen. In einigen, durchaus als Anwenderfreundlich zu bezeichneten Schritten, wurde nun folgendes vom SRT-AppGuard durchgeführt.
- Der Bytecode von Logman wurde untersucht (Decompilierung)
- Die Original App Logman wurde deinstalliert
- Der Bytecode von Logman wurde verändert (Instrumentierung)
- Die modifizierte App Logman wurde wieder installiert
Nach diesen Schritten taucht Logman in der Liste der zu überwachenden Apps auf. Ruft man nun im AppGuard den Eintrag “Logman” auf, erscheint eine Liste der von Logman verwendeten Berechtigungen und man hat die Möglichkeit bei gewissen Berechtigungen den Haken zu entfernen. (Standardmäßig sind immer noch alle Berechtigungen angehakt!)
In diesem Fall wird von SRT AppGuard lediglich die Berechtigung “Telefonstatus und Identität lesen” als kritisch eingestuft und ist somit abwählbar. Als nächstes habe ich also genau das getan und eben diese Berechtigung entzogen.
Als nächstes verlasse ich den SRT AppGuard und starte meine App Logman. Sie startet ganz normal und lässt mich auch den Scan des Logcat starten. Allerdings findet Logman keine Einträge und schreibt dies auch brav dem Anwender in der Meldung heraus. Vermittelt dem Anwender also, Du bist sicher, keine Anwendung auf Deinem Smartphone schreibt zu Zeit irgendwelche kompromittierenden privaten Daten ins Logcat.
Allerdings waren zu jenem Zeitpunkt faktisch kompromittierende Daten im Logcat vorhanden.
Ein erneuter Aufruf des SRT AppGuard und Aufruf des Menüpunktes “Überwachte Apps verwalten” sowie der Aufruf des Logs von AppGuard fördern dann zu Tage, dass verhindert wurde die SimSerial, die SubscriberID, die DeviceID sowie die Line1Number (Telefonnummer) auszulesen.
Meiner App Logman wurde also nicht die Berechtigung entzogen diese Daten auszulesen, sondern es wurde durch Veränderung meines Applikationscodes unterbunden diese Daten auszulesen und für die Dauer der Überprüfung zu speichern. Ansonsten hätte es in meiner App zu einer Fehlermeldung führen müssen.
Dies hat effektiv verhindert, die definitiv zu diesem Zeitpunkt vorhandene IMSI im Logcat aufzufinden, da der Vergleichsstring der IMSI gefehlt hat.
Innerhalb meiner Anwendung Logman hat das zu keiner Fehlermeldung geführt und es gab keinerlei Hinweis darauf, dass diese Daten nicht ausgelesen werden können.
Der Anwender glaubt also er ist sicher, obwohl er es in Wirklichkeit gar nicht ist. Würde der Anwender nun in gutem Glauben sein Logcat an irgendjemanden weitergeben, würde die IMSI an Dritte übermittelt werden.
Der SRT AppGuard gaukelt dem Anwender hier eine doch eher sehr zweifelhafte Sicherheit vor, denn die wenigsten Anwender dürften in der Lage sein, beurteilen zu können, welche Funktionen sie in einer App lahmlegen können ohne die Grundfunktionalität dieser App damit wesentlich zu beeinflussen.
Nun spinnen wir den Faden noch ein wenig weiter. Angenommen, ich hätte bei der Entwicklung meiner App Logman wirklich einen groben Fehler begangen und es gäbe ein Sicherheitsproblem mit meiner App. Ein Aufmerksamer und Verantwortungsvoller Anwender macht sich die Mühe, mir eine E-Mail zu schreiben, in der er mich auf diesen Umstand hinweist.
Als ebenso Verantwortungsvoller Entwickler, setze ich mich natürlich sofort an die Behebung dieses Problems und veröffentliche ein Update im Google Play Store. Alle Anwender meiner App Logman würden somit, spätestens im Verlauf eines Tages, von diesem Update automatisch benachrichtigt und können das Security Update von Logman installieren.
Alle Anwender? Nein, leider nicht. Diejenigen Anwender, welche Logman mit dem SRT AppGuard überwachen, haben leider keine Benachrichtigung bekommen und müssten nun weiterhin mit der unsicheren Version der App Logman leben in der wichtige und sensible Daten gefährdet wären. Dies liegt daran, dass SRT AppGuard beim erneuten Kompilieren meiner mittlerweile ja veränderten App Logman, eine andere Signatur verwenden musste. SRT AppGuard hat ja keinen Zugriff auf meine verschlüsselte Signatur. Somit wurde also aktiv verhindert, dass diese App jemals auf dem Device des Anwenders Updates des Entwicklers empfangen kann.
Resümee
Ich will gar nicht abstreiten, dass es so manche App gibt, die mehr als zweifelhafte Berechtigungen mit sich bringt und dass sich darunter auch so manch eine Malware befindet, die sicherlich nicht zum Besten des Anwenders ist und Schaden anrichten kann.
Nur ist es, zumindest in meinen Augen, mindestens genauso zweifelhaft, dem Anwender, vollmundig eine sogenannte “Sicherheit” zu versprechen, die eigentlich gar nicht gegeben ist.
Es ist wohl besser, wenn man Apps, die zweifelhafte Rechte fordern, gar nicht erst auf seinem Smartphone installiert.
Mein besonderer Dank geht an Lars von Allaboutsamsung.de der mir zu den Rechtlichen Fragen zum Urheber und Strafrecht wertvollen Input geliefert hat.
Auch interessant
Kommentare
Bei Jörg muss ich mich bedanken, diese Diskussion angestoßen zu haben, auch wenn er zwangsläufig nicht wirklich neutral ist.
Mich stört die Arroganz derer, die für sich selbst per "unlocked" und "rooted" (ggf. Gerät geknackt und mit verlorener Gewährleistung) für sich selbst das Recht der Entscheidung über die App-Berechtigungen (z. B. per LBE Privacy Guard) einräumen, der Masse aber diese Form der "Selbstverteidigung" mit Hinweis auf Illegalität oder paranoides Verhalten nicht zugestehen wollen.
Die Argumentation, die App einfach nicht zu installieren, wenn man mit den geforderten Berechtigungen nicht einverstanden sei, ist scheinheilig, da der Ersteller oder Auftraggeber einer App natürlich will, dass sie eingesetzt wird - wozu wäre sie sonst erstellt worden und jemand will auch Geld damit verdienen. Idealisten sind selten. So gibt es einige Apps, die ich einschränken will und ohne die ich andernfalls gleich auf jedes Smartphone verzichten könnte.
Es ist eine ärgerliche Allianz aus Auftraggebern bzw. Herstellern von Geräten, Betriebssoftware und Apps, die gar kein Interesse an der Selbstbestimmung der Anwender haben. Oder ich führe die Argumentation konsequent zu Ende: Wenn ich damit nicht einverstanden bin, dann darf ich kein Android-Gerät kaufen. Mein Sohn hat diese Konsequenz längst gezogen, er hat nun schon sein zweites iPhone. Ich suche noch nach einem alternativen Weg.
Wie naiv muss man sein, zu schreiben: "Ich benutze sowieso nur Apps von Google und die AP-App, also ist mir sowas mit fragwürdigen Permissions sehr egal..." Ausgerechnet die Datenkrake Google! Aber auch seriöse Auftraggeber und Ersteller von Apps tendieren dazu, mehr Daten zu erheben, als unbedingt nötig. Sie wollen Geld verdienen, indem sie marktstrategische Daten für sich selbst ermitteln oder gleich mit den Daten handeln. Sogar völlig legal und begründet erhobene Daten können noch genügend missbraucht werden. Soweit zum zitierten "GMV" (gesunden Menschenverstand), der einen angeblich schützen soll.
Solange in Android - also im Betriebssystem selbst - nicht die Möglichkeit für Jedermann geschaffen wird, die Berechtigungen der Apps individuell festzulegen, ist es in meinen Augen ein berechtigter Akt der Notwehr, SRT AppGuard einzusetzen und Updates ggf. manuell nachzuziehen oder bleiben zu lassen.
Lieber Daniel,
der sogenannte Affront gegen die Wissenschaft ist lediglich die klare Aussage, dass einerseits diese App gegen geltendes Recht verstößt und andererseits die im beschriebenen Fall vermittelte Sicherheit keine ist. Punkt. Da ändert auch der Stand von Herrn Prof. Dr. Backes nichts dran. Nur weil etwas machbar ist muss es noch lange nicht Rechtens sein.
Was das ganze mit Propangandismus zu tun hat erschließt sich mir allerdings auch nicht. Ich selber hätte es auch lieber wenn die Rechtevergabe flexibler und vor allem granularer wäre ..
Stilistisch gesehen durchaus lesbar, aber ohne die
notwendigen Hintergrundinformationen, möchte ich
unterstellen ;)
Die App wird und wurde unter der Leitung und der Idee
von Prof. Dr. Michael Backes, welcher als Professor an der
Universität des Saarlandes tätig ist, entwickelt.
Kritisches Hinterfragen sei erlaubt, auch, oder beson-
ders, in akademischen Kreisen. Dennoch - hier zu unter-
stellen, dass mit unlauteren Mitteln gearbeitet würde ist ein
Affront gegen die Wissenschaft, gegen den Ethos, den es
durchaus gibt an deutschen Hochschulen und Universitäten.
Solch ein propagandistisch anmutendes Werk HIER zu publi-
zieren ist die informelle Seite. Die Selbstoffenbarung liegt darin,
dass der Verfasser offensichtlich sehr daran interessiert ist,
dass die User nach wie vor keine Möglichkeit haben dürfen
SELBST zu entscheiden, welche Rechte eine App braucht
und welche eben nicht.
Es geht hier um die PERSÖNLiCH(ST)EN Daten, um einen ekla-
tanten Eingriff in die Privatsphäre eines Menschen (des Nutzers)
Fair ist es einer kostenfreien App das Recht zu gewähren, auf
das Internet zuzugreifen und ein paar kleine Werbeeinblendungen
zu präsentieren. So finanziert sich eine App, wenn sie kostenfrei
bleiben will, in vielen Fällen.
Aber mal ehrlich. Wozu braucht eine Taschenlampen App das Recht,
auf die Kontakte zuzureifen? Meine Taschenlampe braucht kein Internet
und leuchtet trotzdem ;)
Als Resumee bleibt zu sagen, dass es für jeden Entwickler, jeden
Anbieter, Pflicht sein sollte darzulegen, wozu sie welche Rechte benötigen.
Damit ist auch keine Mehrarbeit verbunden, weil bereits vor der Entwicklung
einer App ein WhitePaper erstellt wird, in dem alles genau dokumentiert ist.
Dieses Recht habe ich als Anwender, als Konsument eines Produktes.
Wer, wenn nicht ich, sollte die letzte Instanz sein, die zu entscheiden hat,
welche Informationen ich von mir Preis geben will und welche nicht?
Mit liebem wie vorweihnachtlichem Gruße,
Daniel K. aus S ;)
Mal ganz ehrlich,
Dein Bericht ist nicht objektiv.
Du bist lediglich Gefangener Deiner eigenen Vorlieben
für die Berechtigungen beim Einsatz von Apps.
Denn Du projizierst induktiv von Deinem Logcat auf alle anderen Apps.
Wie willst Du denn so Alternativen aufzeigen,
um eine weise Entscheidung pro oder contra zu treffen?
Wenn ich sehe, dass es so blöde Apps gibt,
wie zum Beispiel einige Barcode-Scanner oder Spiele,
die Standort-Informationen, Telefonnr, Kontakte, etc. pp. übermitteln,
dann scheint mir ein adäquater Einsatz für so ein Tool wie AppGuard durchaus angemessen.
Die Betonung liegt auf adäquat.
Nicht jeder ist so schlau wie Du und kann abwägen,
welche Berechtigungen eine App tatsächlich benötigt
und welche in diversen Data Warehouse Prozessen weiterverwendet werden.
AppGuard wurde heute von WISO als empfehlenswert vorgestellt. Wollte es deshalb schon auf meinen Androiden (Samsung Galaxy S2 und Asus Transformer Pad Infinity) installieren. Da es im Play Store jedoch nicht zu finden war, googelte ich im Internet danach.
Nach allem, was ich hier und an anderer Stelle über diese App zu lesen bekam, kommt diese definitiv nicht auf meine Geräte, und zwar weil sie mir rechtlich, moralisch und nicht zuletzt vom technischen Lösungsansatz her (soweit ich die einschlägigen Kommentare verstanden habe) fragwürdig erscheint.
Um evtl. Risiken zu minimieren, deinstalliere ich dann lieber wieder einige Apps, die ich zwar fast ausschließlich aufgrund diverser Empfehlungen aus „Fachkreisen“ installiert habe, aber eigentlich nicht wirklich brauche.
Bei dem gegenwärtig Machbaren dürften die dreieinhalb Sicherheitstools, die ich ebenfalls auf Empfehlung installierte und die das System zwar etwas verlangsamen, sich aber ansonsten nicht groß ins Gehege zu kommen scheinen, genug Sicherheit bieten für den Moment.
Ich danke den Autoren, allen voran Jörg Voss, für die Aufklärung.
Angesichts dieser neu gewonnenen Erkenntnisse ist mir unverständlich, wie das öffentlich rechtliche Fernsehen seinen (meist älteren) Zuschauern so etwas überhaupt empfehlen kann: Auch unter http://www.tagesschau.de/wirtschaft/appguard100.html ist nämlich von einem „nutzerfreundlichen Hilfsprogramm“ die Rede.
Mich enttäuscht auch, dass z. B. CHIP online (dem ich bisher immer viel Vertrauen entgegen brachte) die entsprechende APK-Datei sogar selbst zum Download anbietet und dabei - ohne jeden Hinweis auf mögliche „Risiken und Nebenwirkungen“ - folgendes Fazit zieht: „Mit "SRT AppGuard" gehen Sie in puncto Datenschutz auf Nummer sicher und können selbst regulieren, welche Anwendung auf welche Daten zugreifen darf - ein Stück mehr Privatsphäre für alle Android-Nutzer.“
Mein persönliches Fazit lautet:
Auch den Medien darf man nicht alles glauben und nicht alles, was von „Oben“ kommt, ist wirklich gut. Selbst blindes Vertrauen in die Wissenschaft soll sich gelegentlich schon mal als Irrweg erwiesen haben. Es ist jedoch nie verkehrt, selber das Gehirn einzuschalten, bevor man eine Entscheidung trifft …
@Jörg Voss, vielen Dank für dein SUPER Blog !!
Ich habe die zweifelhafte App dennoch installiert, da mein Gerät noch nicht gerootet ist UND es die eine oder andere App gibt, welche nicht unbedingt mein Standort, Internetverbindung, Werbung, etc. braucht.
Bei den Apps kann ich auch gut auf die Updates verzichten (z.B: Spiele).
... bitte mehr von diesen informativen Blogs raushauen! ;-)
Echtes Problem oder nur der Aufschrei der Datensammler? Ich kann jedenfalls keine relevanten Gründe gegen den AppGuard erkennen.
Ich habe mich nun nachdem ich den Beitrag gelesen hatte ausgiebig mit diesem Thema befasst. Zuerst möchte ich anmerken, dass ich erst durch diesen Beitrag von der app erfahren habe. Ich kenne mich weder mit programmieren aus noch hatte ich irgend welche Ambitionen mich mit development zu beschäftigen. Ich halte mich jedoch für ausreichend bewandert mich mit komplexen Themen zu beschäftigen und diese zu verstehen.
Das grundsätzliche verteufeln der app finde ich etwas übertrieben. Dass die Kommentare alle die rechtliche Situation der Nutzung der app ansprechen ist auch etwas übertrieben da das Groh gerootete Geräte besitzen und im Prinzip tiefergehende Änderungen an apps oder dem Betriebssystem durchführen.
Ich habe nun mir alle Rechte meiner apps angeschaut und mir ein paar kritische zum überwachen ausgesucht. Als erstes fiel mir eine Photoapp mit logcat Readrecht auf. Warum benötigt eine solche Applikationen solche Rechte? Egal löschen will ich sie nicht. Wäre es jetzt nicht schön hier etwas anderes zur Einschränkung machen zu können? Aplikation überwacht und Internetzugang entzogen. Im übrigen auch so ein Unding warum jede app ins Web muss.
Werbung unterbinde ich dadurch auch noch.
Ich könnte noch weitere solcher Beispiele nennen wie Kamerazugriff durch naviapp, sms bei zynga und gameloft oder, oder, oder.
Alles ohne routing, garantieverlust und datenklau. Ein kompletter Laie wird diese app nicht nutzen. Viel zu aufwändig jede Applikation einzeln auszuwählen und sich blind durch die Rechte klicken, das macht kein noob.
Sehr schöner Beitrag, was mir fehlt ist aber ein Hinweis darauf, dass die APP an einer Uni entwickelt worden ist und der "Kopf" ein guten Ruf genießt.
Ich finde es auch irgendwie erstaunlich, das der Kram dann noch läuft, Beispiel: Probiert mal WhatsApp eines seiner 30 Rechte (nach Permissions Free) zu entziehen, ganz egal welche sie wird nicht mehr laufen.
Nicht so bei App Guard die Anwendung läuft, wirklich erstaunlich.
Was ich aber schon bedenklich finde, was würde wohl passieren, wenn z.B. der Hersteller einer so modifizierten App anfängt die Nutzer zu belangen? Man denke nur an sowas wie die WhatsApp, wo es für den Herstelle idR relativ einfach ist, den Nutzer zu ermitteln. Daher muss man wohl sagen finger weg.
Weiß hier eigentlich jemand, ob Whisper Core jemals wieder verfügbar wird?
@Harald H.
Wenn es für Dich so fraglich ist probiere es doch einfach aus!
Ich habe es ausprobiert an einer meiner eigenen Apps, bei denen mich keiner, Rechtlich betrachtet, davon abhalten kann das zu dekompilieren.
Näher betrachtet habe ich dabei das in der App befindliche Dex-file, welches im wesentlichen den "Bytecode" beinhaltet, also die in der VM auf dem Device zur Ausführung gelangenden Codebestandteile.
1. Originalgröße des unveränderten classes.dex 31.184 KB
2. Größe der classes.dex nach der Veränderung durch SRT AppGuard: 140.948 KB
Von 31 KB auf 140 KB ... hoppala .. da muss aber schon was dazu gekommen sein.
Dann habe ich weiter die beiden Code Trees verglichen. Im von SRT AppGuard veränderten classes.dex ist ein ganzer Verzeichnis Tree dazu gekommen.
(srt/appguard/mobile/service sowie srt/appguard/monitor[....] mit weiteren unterverzeichnissen!)
Dann habe ich die Größen der beiden Hauptklassen meiner App verglichen:
1. Originalcode LogmanActivity : 75 KB
2. Recompilierte LogmanActivity: 81 KB
Hinzugefügte Codegröße: 6 KB
3. Originalcode ShowList: 14 KB
4. Recompilierte ShowList: 15 KB
Hinzugefügte Codegröße: 1 KB
So, bei näherer Untersuchung werden bspw. Methodenaufrufe wie folgt umgebogen:
invoke-static {v0}, Lcom/srt/appguard/monitor/MonitorInterface;->android_telephony_TelephonyManager__getDeviceId(Landroid/telephony/TelephonyManager;)V
sowie bspw.:
.catch Lcom/srt/appguard/monitor/exception/MonitorException; {:try_start_1b .. :try_end_21} :catch_6e
Es hat niemand von Quellcodeexakter Dekompilierung gesprochen, so wie ich es gemacht habe, mit smali/baksmali geht es genauso. Ohne Zugriff auf die Klassen kannst Du nur dann etwas ausrichten, wenn es eine Publik API gibt. Oder Du Root auf dem Phone hast. SRT AppGuard benötigt KEIN Root. Er ist darauf angewiesen, die Apps zu deinstallieren und recompiliert wieder neu zu installieren.
Ohne eine recompilation oder ohne root kommst Du unter Android an den ausgeführten Code nicht heran. Sandbox ....
Solltest du noch Fragen haben .. probiere es ruhig einmal aus, es ist im Netz alles dokumentiert was du benötigst ...
Für mich ist eine Dekompilierung nach wie vor fraglich..
Zum einen da die Firma selber nur von Bytecode spricht (vorausgestzt das Zitat ist korrekt)
Zum anderen weil eine Quellcodeexakte Dekompilierung auch in Java nicht möglich ist..
Es sollte auch ohne Zugriff auf die Klassen möglich sein Code zu integrieren der Kontrollfunktionen übernimmt. Das geht z.b. bei Win-Anwendungen auch" Sprungziele verändern, DLL Entrypoints modifizieren etc. (Natürlich funktionieren APKs anders als EXE.. aber trotzdem)...
Und.. braucht die App nicht root? Dann sind berechtigungen doch kein Problem mehr...
Im Markt steht doch (wie bei fast allen Tablets) : Diese Version ist mit Ihrem Gerät nicht kompatibel.
Natürlich sind die Rechte wieder da, nachdem ich geupdatet habe.
Schließlich wird ja nicht nur ein Teil der app geupdatet, sondern die komplette App "erneuert"
Whatsapp funktioniert aber einwandfrei, ich update also nicht und bin froh, dass es funktioniert hat mit app guard.
Ob das nun legal ist, oder nicht, ist mir eigentlich egal.
Ich nutze ja kein Programm kostenlos, das eigentlich Geld kostet...
@Becks R Kann es sein, Du hast den Sinn von Abkürzungen nicht verstanden?
@Harald,
um die jeweilige App zu verändern, muss ich dekompilieren um die im APK enthaltenen Classes verändern zu können. Darüber hinaus würde es im System gar nicht anders funktionieren, da man an die installierte App selber nicht herankommt. (Filesystemberechtigungen) Erg muss die neuerlich kompilierte und mit neuer Signatur versehene App neu installiert werden.
was für einen sinn es macht firma in so einem blog mit fa. abzukürzen muss mir mal noch einer erklären.
Ich bin ein wenig verwirrt. In den angeführten Lizensbestimmungen der Firma ist ganz klar die Rede von "Bytecode" (sogar steht das es sich um bereits kompilierten Code handelt)
Im Text steht dann allerdings etwas von "decompilierung" der Anwendung! Laut dem hier dargestellten Sachverhalt passiert dies aber nicht!
Es stimmt das es sich bei Bytecode nicht um Maschinencode handelt.. Aber den erstellt erst die JVM bzw. Dalvik zur Laufzeit (JIT-Compiler). Folglich liegen Android-Apps wie alle Javaanwendungen bereits im Bytecode vor.
Das ändert natürlich nichts an der Frage ob man die .apk's verändern darf..
@Jörg Voss Ok Danke. Hat mich halt gewundert da sonst die Bilder in den News nicht verlinkt sind.
Gruß
@Olli Zenker
Natürlich kann die App selber melden, dass ein Update besteht, dass machen die wenigsten Apps.. Aber versuch mal die App im Market upzudaten.. selbst wenn das geht (was ich nicht glaube) sind die Rechte wieder da... Totaler Schwachsinn..
Das mit dem Bild rührt daher, dass gestern bei Erstellung des Artikels, der Bilderupload nicht funktionierte. In sofern habe ich dann das Bild aus meinem eigenen Blog genommen. Ist also nicht weiter tragisch :)
Also erstmals Top Artikel. Jetzt sehe ich die App mit einem etwas anderem Auge zuerst dachte ich das ist echt mal top um fragwürdige Berechtigungen zu unterdrücken. Werde aber wohl daruf verzichten.
Tja und so werden wohl einige Apps doch nicht den weg auf mein Handy finden.
Ach wo wir gerade bei Sicherheit sind warum ist das Bild im Beitrag mit peggy-forum.com verlinkt? Habe es ausversehen angeklickt (sch... Laptop Touchpad)?
Ich habe mit app guard whatsapp die Berechtigung entzogen den Telefonstatus zu lesen und konnte es so auf meinem TF700T zum Laufen bringen..!
Danke app Guard!
Im übrigen habe ich heute einen Hinweis bekommen, dass ein update für whatsapp zur Verfügung steht.
Kann ja eigentlich nicht sein, oder?
@Jürgen Helmers Danke für den Hinweis, dass hatte ich nicht entdeckt bzw. ist es mit entgangen.
@Jörg Voss
In der Liste der "gemangeten" Apps kann man auf eine App lange drücken und dann "Orginalversion wiederhgerstellen" auswählen und so zur Orginalversion zurück kommen. Habe ich so gemacht bevor ich die App deinstalliert habe...
+SuperSam +1000000000!!!
+Jörg Sehr guter Beitrag. Ich benutze sowieso LBE für das alles. Reverse Engineering (das, was SRT also macht) ist in den Google AGBs ausdrücklich verboten, also war die Entfernung rechtens.
@ Katrin Soweit
Avast kann dir Nur Zeigen Welche App Welche Berechtigung hat kann sie aber nicht entziehen.
@ Jörg Voss
Sehr Guter Beitrag hoffe man liest noch viel mehr von dir ;-)
Ich vergaß Danke zu sagen für diesen klasse Beitrag.
Aber mich ärgert das vergessen wird das ein Großteil der user gar nicht wissen was im Hintergrund auf ihrem handy läuft. Have ich an PC eine Firewall installiert werde ich in der regel gefragt (darf dieses prog das) ohne die Garantie bei gerooteten Geräten zu verlieren und dazu noch anderen schadprogramnen Tür und Tor zu öffnen hier setzt es doch wihl ein gewisses Maß an wissen voraus das der nornale user safe ist.
Daher halte ich progs die die Berechtigungen beschneiden durchaus für sinnvoll wenn sie im Rahmen bleiben.App guard geht wohl über das Ziel hinaus aber zeigt auch das man gegenlenken muss und bringt auch neue Anregungen wie hier deutlich zu lesen ist. Es gibt doch wohl bei einigen apps keine Alternativen diese zu installieren ob man die Berechtigungen akzeptiert oder nicht der Missbrauch ist doch das Problem und immer mehr nutzen dieses aus. Man sollte doch da ansetzen und nicht am falschen ende kein user will doch wohl den Missbrauch seiner daten. Der depp ist der, der glaubt nichts über sich preiszugeben sobald das handy angeschaltet wird und warum wer hat den nutzen? Die antwort brauche ich wohl nicht geben.
So nah mal ganz anders!
Es ist doch auch wohl so das ich am PC auch selber entscheiden kann was ein prog darf oder nicht.
Bei android erst mal nicht. Es gibt doch wohl genug User die sich ein handy kaufen es benutzen aber nicht bedienen können dafür sind dann doch genannte apps gedacht bedienerfreundlich und einfach die kontrolle sollte doch dem unwissenden usern auch zugebilligt werden ohne sich mit rooten zu befassen. Die aussage dann die app nicht zu installieren find ich zu einfach ich alls user möchte doch entscheiden was mein handy oder pc im Hintergrund tut und nicht umgekehrt leider ist der trent genau gegenläufig. Wenn man sich nicht mehr entscheiden darf ob rechts oder links oder gar geradeaus bin ich doch nicht mehr ich und überlasse anderen die kontrolle und muss mich dann nicht mehr wundern.
Könnte noch einige Argumente anführen aber der Beitrag würde den Rahmen sprengen.
Sehr guter und informativer Beitrag! Sachlich und fundiert, echt klasse.
find es gut wenn man solche Kommentare lesen kann so weiss man was man abladen moechte
Dann sollten die Entwickler ihren GMV einsetzen und überlegen, welche Berechtigungen ihre Apps w i r k l i c h
brauchen. Solange das nicht geschieht und man selber nicht rooten will/kann hat man kaum Alternativen.
Die rechtliche Seite lasse ich ohne Kommentar, da ich kein RA bin. Kann mir nur denken, dass man viele Punkte unterschiedlich interpretieren kann.
wie schon oft erwähnt: ein sehr interessanter und informativer Beitrag!!! am besten ist denke ich bei Android: lesen lesen und nochmal lesen, lernen, rooten und z.B. superuser nutzen! bin jetzt auch nicht der absolute Profi, doch ist das auch eine Möglichkeit ungewolte Tätigkeiten der apps zu verhindern. da kann man dann selbst bestimmen was und was nicht...
GMV hilft bei dieser App aber nicht unbedingt. Ohne die Ausführungen von Jörg wäre mir einiges nicht klar geworden.
Und überhaupt: Apps, die andere Apps derart manipulieren, haben nicht nur im Play Store nichts zu suchen, finde ich.
Ich sage nur: GMV (wie Izzy sagen würde) muss man schon benutzen.
Wenn ich ein simples Spiel, wie z.B.Jewels, habe, dass unbedingt mein Standort ermitteln und ins Internet will und zusätzlich kostenpflichtige SMS und Anrufe tätigen will und ich das Spiel aber spielen will? Entweder frage ich mich jedes mal was passiert gerade "hinter meinem Rücken" oder ich greife mit AppGuard ein.
Die automatischen Updates sind bei mir sowieso alle abgeschaltet. Auch die Benachrichtigungen. Ich prüfe alle paar Tage selbst, ob neue Updates verfügbar sind, lese die Erfahrungen und entscheide selbst, was zu tun ist. Oft genug wird leider auch von Seiten der Entwickler bei den Updates nachlässig gearbeitet.
M.M.n. ist diese App ein präzises Werkzeug und wie die "echten" Werkzeuge gehört sie nur in Hände solcher Anwender, die auch wissen was sie tun.
Deine App, Jörg, würde ich auch nicht über AppGuard laufen lassen (aus nachvollziehbaren Gründen)
Nochmals: GMV!
Danke für den guten Beitrag. :-)
Also wurde die App zu Recht aus dem Play Store entfernt.
@Mue Marko
So lächerlich ist das gar nicht. Google hätte eine ganze schöne Klage wegen Urherberechtsverstoß am Hals haben können... Die Lösung ist doch sowieso nur halbgar und Blösinnig.. Wer kein root will der ist kein Profi und hat auch keine Ahnung welche Rechte er enziehen soll.. Wer sich etwas auskennt, kann auch rooten.. Punkt...
...nach all den Gesetzlichen Bestimmungen und Richtlinien müsste Google und Co. auch bei anderen App's sich fragen ob es weiterhin vertretbar sei...!!! Wozu dann der Rausschmiss aus dem Store-wegen Urheberrechtsverletzung???-ist doch lächerlich!!! Die Jung's von SRT verstehen Ihr Handwerk zu gut und ist nicht mehr als eine Konkurrenz für Google geworden, um es mal auf den Punkt zu bringen! Andere Firmen arbeiten genau so-man muss kein Profi sein um da durchzublicken.
Ohne root macht alles keinen Sinn. Bei Androidversionen unter ICS kann man nicht mal die Daten zu den Apps sichern.. Bei ICS auch nur in Verbindung mit dem PC...
Deswegen ist schon Titanium-Backup ein Grund zum rooten.. Mit LBE entzieht man allen Apps die kein Internet benötigen, das Internet und schon ist die Werbung weg... Bisher gingen alle App (bis auf eine) trotzdem munter...
Mit root kann avast Berechtigungen abzwacken....aber leider nur mit root;-)
@Katrin Soweit mir bekannt kann Avast keine Berechtigungen entziehen.
Sehr, sehr schöner Beitrag. Gerne mehr davon!
benutze als Sicherheitsprogramm Avast und da kann man doch auch Berechtigungen abschalten
Neues Design oder wie oder wat? Schaut ganz gut aus.
mfg
Endlich seit langem mal wieder ein qualitativ hochwertiger Blog, danke!
@Gerhard Eberhard da kannst Du die App nur neuerlich aus dem Google PlayStore in der Originalversion installieren. SRT AppGuard bietet nämlich keine Möglichkeit an die getätigten Veränderungen wieder rückgängig zu machen.
Toller Blog!
Hallo, alles gut und schön. Ich habe mich verführen lassen und die App installiert. Was mache ich nun, wenn ich die Sache rückgängig machen möchte, weil ich nicht auf die die automatischen Informationen über zur Verfügung stehende Updates verzichten möchte.
Ich benutze sowieso nur Apps von Google und die AP-App, also ist mir sowas mit fragwürdigen Permissions sehr egal...
Ich benütze die App um bei gewissen Spielen die Ortung über WiFi und GPS und die Internetverbindung zu kappen, wodurch ich weniger Werbung habe. Zudem verbraucht mein Telefon dann auch weniger Akku.
Sonst in allem ein schöner und vor allem informativer Text.
Sehr schöner Beitrag! Danke :-) ich Bitte um mehr solcher Beiträge!
Also ich würde mich nicht als brutalen Anfänger bezeichnen, habe aber die SRT app installiert und nutze diese nur bei 2 apks. Da ich mein Gerät bislang nicht rooten möchte und auf diese apps nicht verzichten will, ist das die einzig verbleibende Alternative. Ich sehe das Problem der direkten Updates. Daher werd ich mir abermals Gedanken dazu machen müssen. Ich finde es eigentlich gut und im Sinne vom offenen Android, dass man die SRT app verwenden darf, befürworte jedoch ebenfalls diese apk nicht in den für jedermann zugänglichen Store zu stellen. Schlussendlich muss jeder selber entscheiden, welchen Weg er gehen will und gerade diese Freiheit liebe ich an unserem OS.
Genauso sehe ich das auch. Eine schwachsinnige App. Rechtlich fraglich und Sicheheitstechnisch auch fraglich.
Bin ganz froh, dass andere Methoden nur per root gehen, dass hält viele Anfänger ab.. Wenn ich als Lese wie die Leute sich wegen Berechtigungen aufregen und bald jede App ein "Rechtemonster" ist muss ich schon lachen... Da wollen die Leute unbedingt "OpenFeinT" aber Internetberechtiung darf die App nicht haben...
Als Profi kann man mit LBE, Apps wirklich unnötige Berechtigungen entziehen. z.B. lasse ich viele Spiele nicht ins Internet und die funktionieren trotzdem super... klar OpenFeint dass ich nicht brauche geht dann mal nicht.. Und auch die ID brauchen die meisten Apps nicht und die kann ich dann vielen auch verweigern... Und Updates bekomme ich dann trotzdem...
Das eine Problem ist dass es wirklich Malware gibt, aber dass ist eher selten, wenn man nicht jeden Mist installiert. Das andere ist dass viele Apps plötzliche neue Berechtigungen brauchen (oft ja berechtigt) aber die neuen Rechte nicht in der Beschreibung erklärt werden..
z.B. hat die App "Camera306 Ultimate" plötzlich das Recht zum "telefonieren" und "W-LAN-Status ändern" gefordert.. Da fragt man sich schon, muss die Kamera telefonieren?? Immerhin, still und heimlich wurde die Berechtigung zu telefonieren wieder entfernt....