Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
5 Min Lesezeit 12 mal geteilt 27 Kommentare

Auch Android Apps können ohne Erlaubnis auf Fotos zugreifen

Dont be evil?

Akkupower von morgens bis abends ist für Heavy User leider immer noch keine Selbstverständlichkeit.
Stimmst Du zu?
50
50
7741 Teilnehmer

(Bild: primatir.com)

Es will einfach nicht aufhören oder? Vielleicht wird die folgende Angelegenheit nicht sonderlich viele Leute interessieren und vielleicht klingt es auch ein bisschen nach Panikmache, aber wir hier sind uns einig, dass das Folgende ein wirklich großer Skandal ist.

Persönlich bin ich der Meinung, dass jeder das Recht haben muss zu wissen, was das eigene Telefon macht und nicht macht, vor allem wenn es um den Umgang mit persönlichen Daten und Informationen geht. Und auch, wenn ich generell ein großer Freund von Android und Google bin, sind es Berichte wie der folgende, die mich etwas sprachlos und vor allem wütend machen. In letzter Zeit häufen sich die Nachrichten über die Zugriffslust verschiedener Apps auf persönliche Infos wie etwa die Sache mit dem unerlaubten Hochladen der gesamten Adressbücher, die sich auf Smartphones und Tablets befinden. Doch die ganze Sache nimmt gerade eine ganz neue Dimension an: Verschieden Quellen (inklusive Google) haben bestätigt, dass Android Apps Fotos aus Euren Smartphone- bzw. Tablet-Fotoalben kopieren können, ohne dass Ihr darüber Bescheid wisst geschweige denn, dass Ihr der App dieses Unterfangen erlaubt hättet.

Es scheint, dass sobald eine App (egal, was für eine Art von App das ist) das Recht hat, auf das Internet zuzugreifen (was ja bekanntermaßen sehr viele Apps tun), Fotos von Eurem Gerät auf deren Server hochgeladen werden, ohne das Ihr darüber in Kenntnis gesetzt werdet. Äh…was?

Bevor es jetzt weitergeht: Bisher wurde nicht bestätigt, dass Apps dies auch tatsächlich tun, also ist es auch möglich, dass keine App dies wirklich macht. Dennoch ist es wirklich doch sehr merkwürdig, warum diese Funktion vorhanden ist, wenn Sie nicht auch einen Zweck erfüllen soll. Deshalb würde es mich auch nicht verwundern, wenn in ein paar Wochen die ersten Berichte über ein solches Verhalten eintrudeln.

Doch nicht nur Android betroffen: Entwickler von Apps für iOS etwa bekommen Zugriff auf die Fotoalben, wenn der Nutzer dieser App das Erfassen ortsgebundener Daten erlaubt. Bei Android geht die Sache aber noch etwas weiter, denn für diesen "Übergriff" reicht bereits der ganz normale Internetzugriff. Keven Mahaffey, CTO von Lookout Security berichtet über die bisherigen Funde: "Wir bestätigen, dass keine besondere Erlaubnis notwendig ist, damit eine App Bilder auslesen kann. Dies basiert auf den Funden von Lookout auf allen Geräten, die wir getestet haben.

Auch Google bestätigte diesen Vorgang, nachdem das Unternehmen darauf angesprochen wurde. Als Antwort teilte das große G mit, dass sie in Zukunft der Ansatz mit dem Umgang mit Fotos überdenken würden: "Wir haben das Android Foto-Dateisystem ursprünglich ähnlich dem System anderer Computer-Plattformen wie Windows und Mac OS gestaltet.", so ein Google-Sprecher via E-Mail. "Zu dieser Zeit wurden die Bilder auf einer SD-Karte gespeichert um es Nutzern einfach zu machen, diese Karte aus dem Telefon in einen Computer zu stecken, um dann die Fotos zu transferieren. Mit der Entwicklung von Smartphones und Tablets, die mit eingebautem, nicht entfernbarem Speicher ausgestattet sind, schauen wir uns die Sache an und ziehen eine Zugriffserlaubnis auf Bilder für Apps in Erwägung. Wir hatten immer Richtlinien, um Apps aus dem Android Market zu entfernen, die unsachgemäß auf persönliche Daten zugreifen."

Ein etwas gruseliges Beispiel:

Um zu zeigen, wie "verwundbar" Eure Bilder auf Eurem Android-Gerät sind, konstruierte Ralph Gootee - CTO von Loupe und seines Zeichens Android Entwickler - eine Testanwendung. Diese App ist ein einfacher Stoppuhr, weist bei der Installation darauf hin, dass sie auf das Internet zugreifen möchte. Sie fragt aber nicht danach, ob sie auf Eure Fotos zugreifen darf. Wozu auch? Es handelt sich ja um eine Stoppuhr. Sobald die App gestartet und vom Nutzer aktiviert wird, greift diese auf das Fotoalbum zu, greift sich dort das aktuellste Foto und postet dieses auf einer öffentliche Foto-Webseite.

Nach dieser Demonstration, wie die Stoppuhr App auf die Fotos zugreift und diese hochlädt, teilte Gootee mit, dass die Bilder ja doch wohl eine der persönlichsten Sachen auf einem Telefon sind und er doch "ziemlich geschockt" sei. Ich kann mich dem nur anschließen. Es ist eine Unverschämtheit, dass eine App ohne jeglichen Hinweis auf meine Fotos zugreifen kann, egal, wie privat das dort Abgelichtete nun ist oder nicht und ob sie dies nun tut oder nicht. Alleine das sie es kann, regt mich auf. Es sind verdammt noch mal meine Fotos!. Wie kann es sein, dass Google das macht? Was ist mit dem Leitsatz "Don't be evil?" Ist Diebstahl nicht evil?

Erst letzte Woche unterzeichneten Google, Apple, Blackberry und Microsoft in Kalifornien ein neues Privatsphären-Abkommen und es wurde beschlossen, dass harte Strafen bei Verstoß gegen dieses Abkommen verhängt werden. Das wäre jetzt wohl (leider, leider) der Fall nehme ich an, denn was hier passiert ist ganz klar ein Übergriff auf die persönlichen Rechte der Nutzer. Das bestimmte Apps ohne mein Zutun auf meine Kontaktdaten zugreifen können, ist schon schlimm genug, doch bei Bildern hört der Spaß echt auf.

Google (und alle anderen): Kümmert Euch darum, und zwar schnell.

Dont be evil

(Bild: labspaces.net)

12 mal geteilt

27 Kommentare

Neuen Kommentar schreiben:

  • Ich erinnere an einen Hacker, der vor nicht allzu langer Zeit eine bei iPhone Nutzern sehr beliebte Fotoseite "hackte" bzw. eine schlechte Programmierung ausnutzte. So gelangte er in ein paar Tagen an Tausende privater Fotos, von denen ein erheblicher Teil unbekleidete Benutzerinnen zeigte.
    Durch einen nicht näher beschriebenen Trick soll er sogar die Fotos mit Facebook-Accounts verbunden haben und hat alles dann als ZIP ins Netz gestellt.
    Der Aufschrei war recht groß damals.
    Und nun stelle man sich vor, ein Scherzkeks schreibt eine App, die sämtliche Fotos auf einen Server hochlädt, inkl. der persönlichen Daten jedes Anwenders. Das dann schön auf einer Website präsentiert wäre es sicher sehr spannend zu erleben, was die lieben Leute so an privaten Dingen fotografieren.

    Viele Lücken in Systemen klangen so lange unwichtig, bis sie professionell ausgenutzt wurden.


  • Ich mache mir über die Berechtigungen bei Android schon Gedanken. So gibt es bei mir einige Kombinationen von Berechtigungen, welche ich nicht in jeder zweiten App haben will (Persönliche Daten mit Internet kombiniert) und einige, welche für mich gar nicht erst in Frage kommen (Tastatur mit Internet).
    Dass jede App auf das offene Dateisystem zugreiffen kann, erstaunt mich auch. Ich dachte immer, dass dazu die SD-Berechtigung nötig ist. Da habe ich wohl nicht genau gelesen.
    Allzu schlimm finde ich das nicht. Seit Jahren wäre sowas auf dem heimischen Rechner möglich. Passiert ist nie etwas dergleichen.
    Wesentlich grössere Sorgen mache ich mir um die Gewonheiten der Benutzer. Es ist heute üblich, dass man Fotos auch ohne Zustimmung der abgeblichteten Person ins Netz stellt. Das ist nicht in Ordnung.


  • Hallo Leute. Kriegt euch mal wider ein. Wusstet ihr dies bisher nicht? Das ist doch schon lange klar. Habt ihr euer Handy schon mal an euren Computer eingesteckt? Solltet ihr vieleicht nicht mehr machen, da ansonsten jedes Programm auf eurem Computer auf eure Fotos zugreifen kann!

    Das dies möglich ist, hat direkt mit der Android Speicherverwaltung zu tun. Android hat zwei Arten von Speicher. Einen geschlossenen auf dem das System und vorinstallierte Apps gespeicher sind (dies ist auch der Grund weshalb gewisse Apps nicht deinstalliert werden können), einen halb offenen, in dem die Apps und ihre Daten gespeichert sind und einen offenen auf dem die sonstige Daten abgelegt sind. Zu diesem offen Speicher gehört auch die SD Karte. Dateiformate in diesem offenen Speicher sind nicht fix einem Programm zugeordnet sondern können von diversen Apps benutzt werden, ohne dass dafür eine Berechtigung nötig ist. Stellt euch mal vor wie unübersichtlich die berechtigungen würden, wen man bei jeder App noch zustimmen müsste ob sie z.B. auf .jpg, .txt, .doc, .mp3 usw zugreifen darf. Dann werden die Berechtigungen bald garnicht mehr gelesen.

    Die andere Möglichkeit wäre, Fotos in den internen (geschlossenen oder halb geschlossenen) Speicher zu legen. Dieser ist aber bei fast allen Handys sehr klein. Diesen sehr beschränkten Speicher müssten sich die Fotos dan mit den Apps und dem System teilen. Dies könnte frühstens mit Jelly Bean geschehen. Dies würde dan aber dazu führen, dass Jeally bean quasi nur auf neuen Geräten laufen würden, da der zu kleine geschlossene Speicher der alten Geräte es quasi unbrauchbar machen würde.

    Last euch hier nicht verückt machen. Bei Android läuft es wie auf Windows, Mac oder Linux PCs. Was auf eurem Gerät läuft, kann auf dieses Gerät und darauf gespeicherte Daten zugreifen. Deshalb ist es auch wichtig, sich zu überlegen was man sich auf seinem Gerät installiert. Wer mit damit einher gehenden Gefahren nicht leben kann, sollte aufhöhren Software zu installieren.

    Bisher wurde keine App gefunden, die den Usern die Fotos klauen. Ich würde mir da auch nicht zu viele Gedanken macht. Unsere schnapschüsse sind normalerweis kein Geld wert. Deshalb ist auch das Interesse der Appentwickler sich bei unseren Fotos zu bedienen sehr bescheiden.


  • Das als Skandal zu bezeichnen ist in meinen Augen mehr als uebertrieben und lenkt vom eigentlichen Problem ab: Benutzer sind selten wirklich bedacht in dem was sie tun und verlassen sich lieber auf das Betriebssystem und ihre Virenscanner. Wobei man sich jetzt auch drueber streiten koennte, ob das ueberhaupt ein Problem ist oder nicht... Fakt ist nunmal, wie viele meiner Vorredner schon geschrieben haben, dass jedes Windows Programm auf meine persoenlichen Daten wie Fotos zugreifen kann - darueber hinaus auch auf Adressbuecher, Einstellungen anderer Applikationen, und, und, und. Das ist schon seit vielen Jahren so - auch unter so "sicheren" Systemen wie Linux (und Mac). Das Sicherheitsbeduerfnis auf Telefonen scheint hoeher zu sein, aber ganz rational ist das in meinen Augen nicht wirklich.


  • Guten Abend zusammen. Irgendwie glaube ich, ein paar haben Knall nicht gehört. Zugriff auf Daten ist eine Sache, die Verarbeitung ohne mein Wissen, eine andere. Es geht nun mal gar nicht, dass Daten ohne mein Wissen auf irgendwelchen Servern landen. Dass ist das Problem. Also ich kontrolliere meinen Datentransfer am PC. Durch die Smartphones und Tablets ist hier sicher ein anderer Bedarf entstanden. Aber hier muss reagiert werden.


  • Das ganze kann bei normalen Anwendungen am Rechner auch passieren und noch in viel anderen Ausmaßen. Von dem her ist das überhaupt kein Skandal. Wenn es eine Möglichkeit gibt es zu verhindern ist es ein zusätzliches Feature und nicht andersrum. Es ist auch keinerlei Lücke. Am PC läuft auch vieles einfach auf Basis von Vertrauen ab. Sensible Dinge gehören eh verschlüsselt und nicht unverschlüsselt auf ein Phone, welches auch leicht geklaut werden kann.


  • Guten morgen! Wird glaub ich schon seit Mitte letzter Woche in einschlägigen Foren heiß diskutiert. Sogar die Bild hat schon darüber informiert. Mal ganz davon ab, ob nun sicherheitsleck oder gewollt. Der imageschaden beim gemeinen Volk (bildleser) ist bestimmt beträchtlich.


  • @ Andreas T: Ich habe jetzt erst deine Antwort an mich gesehen. Das ist ja genau der Grund, warum es nichts neues ist, Apps können alle auf alle Daten der SD-Karte zugreifen. Es gibt dafür überhaupt keine notwendige Berechtigung. Was ist also die Sensation daran, dass sie auch die Bilder lesen können? Das ist doch völlig logisch.

    Irgendwie scheinen bei Smartphones ganz andere Anforderungen gestellt zu werden als an PCs. Sonst lässt sich nicht erklären, dass die NYT nicht auch einen Artikel "Windows-/Mac-/Linux-Programme können auf Bilder zugreifen und ins Internet senden" gibt.

    Auf dem PC habe ich viel viel sensiblere Daten als auf dem Smartphone.


  • Ich sehe hier auch keine Sicherheitslücke. Was ich sehe ist das immer mehr alles was vom Walled Garden abweicht als Sicherheitslücke bezeichnet wird. Genau der freie Zugriff auf meine Speicherkarte gehörte zu den Dingen die mich von Apple zu Android gebracht haben.

    Das jede App nur auf ihre eigenen Daten zugreifen kann fande und finde ich eine absolute Produktivitätsbremse. Für die Sicherheit der Daten muss man mit anderen Mitteln sorgen als mit einer Einzäunung der SD-Karte. Dafür gibt es zB. Firewalls. Ausserdem kann man über eine verbessertes Rechtesystem nachdenken in dem sich Ordner oder Daten dezidiert Rechte rechte Zuweisen lassen.


  • Ich war auch nur überrascht, dass das als große Neuigkeit präsentiert und verbreitet wird. Die Fotos liegen auf der SD-Karte, die FAT-formatiert ist und somit keinerlei Verzeichnisberechtigungen ermöglicht. Und es gibt halt keine Berechtigung zum Lesen der SD-Karte, nur zum Schreiben.

    http://developer.android.com/intl/de/reference/android/Manifest.permission.html


  • Vize allem problematisch ist ja zusätzlich noch die Tatsache, dass nur bedingt - wenn überhaupt - nachvollziehbar ist, wo genau die Bilder landen...


  • @ Hans K
    Mir ist dein Thread sofort aufgefallen und natürlich hab ich ihn gleich gelesen. Dass ich nichts dazu gepostet habe, ist wahrscheinlich der Tatsache geschuldet, dass ich sprachlos war...


  • Mir ist das auch nicht egal - im Gegenteil, ich finde das ziemlich sch...e so.

    Aber das Problem ist doch nicht nur eines der Bilder, die Apps können komplett auf die SD-Karte oder den internen Speicher zugreifen, überwiegend zu Recht, um dort Daten ablegen oder lesen zu können. Da können die nicht nur auf Bilder, sondern auf alle dort liegenden Infos zugreifen. Das muss doch jedem, der Android halbwegs kennt, klar sein.

    Das ist aus meiner Sicht ein ziemliches Risiko, dessen sich viele Anwender sicherlich gar nicht bewusst sind. Insofern hat die hier berichtete Neuigkeit keine wirklich neue Qualität.


  • Ihr seid Helden * Kopf schüttel*
    Schon mal daran gedacht, dass auch die Fotos euerer Kinder auf irgendwelchen Pages auftauchen könnten ?!

    Ich weiß echt nicht, ob ihr dann noch so schlaue Sprüche klopfen würdet.


  • Es ist nicht egal nur eben bekannt. Man muss halt aufpassen und kann nicht erwarten dass einem jegliche Vorsicht vom Betreiber abgenommen wird. Das Problem ist letztlich ein konzeptionelles. Möchte man mächtige Apps müssen diese eben auf das Dateisystem zugreifen können und zumindest bei einem Zugriff auf die SD-Karte sagt dir das die App auch. Wenn man dann "ja" sagt kann man sich nicht hinterher aufregen wenn die App mit deinen Daten mist macht. Entweder kontrolle a la Apple (was in diesem Fall ja auch nicht geholfen hat) oder Freiheit verbunden mit Risiken.


  •   28

    Zu dieser Thema hatte ich schon vor Tagen einen Thread im Forum aufgemacht, der so gut wie keinen Anklang fand. ;-)

    Den Usern ist es schlicht und ergreifend sch..ßegal.
    Erst wenn's wirklich mal knallt und sie plötzlich Probleme haben, mit denen sie so nicht gerechnet hatten, werden sie wach. Und ganz ehrlich, so manchen Ignoranten gönne ich es sogar.


  • Ich verstehe die jetzige Aufregung auch nicht so ganz. Das ist nichts neues, nicht auf dem Smartphone und erst recht nicht auf dem PC. Dennoch wäre es nützlich Fotos beispielsweise als Privat kennzeichnen zu können und einen Zugriff zu beschränken. Grundsätzlich sehe ich da aber einige Probleme in der Umsetzung. Solange Google Apps wie einen FileManager erlaubt wird man das "Problem" doch garnicht komplett lösen können.


  • @ulrich / fabian: laut artikel können apps auch OHNE sd-karten-berechtigung bilder verarbeiten. leider steht da halt nicht ob die apps auf alle bilder zugreifen können oder nur auf die im internen speicher...

    @michael: deine vielleicht nicht, aber du könntest mit den geoinformationen zb ein bewegungsprofil erstellen (ohne die berechtigung für gps zu haben).


  • @ Michael
    es geht nicht darum, welchen "Wert" eines deiner Bilder für irgend jemanden hätte, sondern darum, dass klammheimlich, ohne dein Wissen und vor allem ohne deine Zustimmung (!) Bilder aus deinem Handy ihren Weg auf irgendwelche fremden Server oder (noch besser) Fotoseiten finden.


  •   18

    Welchen Wert sollen meine Gurken Schnappschüsse für irgendwen haben?

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!