Negatives über den Android Markt - schon wieder!

  • Antworten:28
Evelyn C. 45
Evelyn C.
  • Forum-Beiträge: 7.346

29.07.2010, 12:50:39 via Website

Es gibt garantiert niemanden unter uns 'Androidianern', der sich bei der Installation irgend einer App nicht schon mal über die von dieser angeforderten Berechtigungen gewundert hat. Viele von uns sind ja glücklicherweise bereits hochgradig sensibilisiert und verzichten auf die Installation einer App, deren eigentlicher Inhalt - logisch betrachtet - keine Berechtigung braucht, um z.B. Kontakte zu lesen, SMS zu verschicken oder "private Informationen" anzufordern.

Nun, scheinbar hat man jetzt wieder einen "Developer" aufgetan, der genau das mit seinen Apps bezweckt: das Sammeln und Weiterleiten der auf dem Handy befindlichen persönlichen Daten. Namentlich erwähnt wurde in diesem Zusammenhang der "Developer" Jackeey Wallpaper (der übrigens nach wie vor noch im Markt vertreten ist).

Mag sein, daß nun der eine oder andere wieder das naive Argument aus der Tasche zieht "ach Gottele, meine paar Kontakte und die paar SMS - sollen sie doch glücklich damit werden" - ABER was ist mit denjenigen, die ihren Androiden mit geschäftlichen und wesentlich sensibleren Daten füttern (müssen)? Ob die darüber auch lachen können?

Damit ihr euch selbst ein Bild machen könnt, hier die Links zu diesen Berichten:

Argumente für eine strikte Eingangskontrolle: Android-App sammelt private Daten von über einer Million Android-Nutzern

Android wallpaper app that steals your data was downloaded by millions

Natürlich könnten böse Zungen nun behaupten, das Ganze sei nur eine Kampagne der Fa. Lookout, um auf sich aufmerksam zu machen. Das kann gut sein und ich will das auch gar nicht ausschließen.

Aber sei es wie es sei: ein schaler Beigeschmack bleibt. Wißt ihr so genau, was die 40, 50 oder 60 installierten Apps auf eurem Handy "hinter eurem Rücken" so treiben?

Und nicht zum ersten Mal drängt sich mir der Gedanke auf, daß eine gründliche Vorab-Kontrolle durch Big-G von Apps, die im Markt landen, für uns alle eigentlich nur nützlich und sinnvoll wäre... Sicher, dadurch würde sich der Markt wesentlich langsamer füllen, braucht sowas doch auch seine Zeit. Meine Einstellung dazu: lieber 30.000 Apps weniger, dafür aber die verbleibenden von ordentlicher Qualität und - vor allem - clean.

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
19
Matthias H.
  • Forum-Beiträge: 550

29.07.2010, 13:32:03 via App

ach gottchen schon wieder? was ist mit all den Programmen auf deinem pc wie zb safari oder plugins für FireFox weißt du bei denen auch immer was Sie alles tun? nein du hast keine Ahnung aber keine Angst bald werden Norton McAfee avg Kaspersky nod32 das erkennen und uns ihre Software auch für Android anbieten. bis dahin Augen auf und weniger jammern.

Antworten
27
Gelöschter Account
  • Forum-Beiträge: 2.006

29.07.2010, 13:42:52 via Website

Die Tatsache ansich (wenn es denn eine ist) ist natürlich höchst bedenklich.

Ich stelle aber auch fest, das beide Link's wohl scheinbar was mit Apple zu tun haben.
Ein Schelm, wer Böses dabei denkt. :wink:

Wow...der "Developer" Jackeey Wallpaper hat ja Unmengen von Wallpapers im Market.

Diese Anwendung kann auf Folgendes zugreifen:

* Netzwerkkommunikation
uneingeschränkter Internetzugriff, Netzwerkstatus anzeigen
* System-Tools
Hintergrundbild festlegen
* Anrufe
Telefonstatus lesen und identifizieren
* Speicher
SD-Karten-Inhalt ändern/löschen
* Ihr Standort
ungefährer (netzwerkbasierter) Standort

Nicht schlecht, für'n Wallpaper :lol:

Gruß Johann

— geändert am 29.07.2010, 13:45:32

Bitte beachten! > AndroidPIT-Regeln

Luigi

Antworten
Daniel B. 13
Daniel B.
  • Forum-Beiträge: 191

29.07.2010, 13:59:16 via Website

Evelyn C.
ABER was ist mit denjenigen, die ihren Androiden mit geschäftlichen und wesentlich sensibleren Daten füttern (müssen)?

Wenn einer meiner Mitarbeiter unaufgefordert Apps auf seinem Firmen-Android installieren würde gäbs ne nette Abmahnung, bei tatsächlichem Verlust der Daten ne fristlose inkl. Schadenersatzklage ;)

Welche Firma erlaubt sowas denn seinen Mitarbeitern?

www.des1gn.de - design,marketing,entwicklung

Antworten
Benjamin Rüde 16
Benjamin Rüde
  • Forum-Beiträge: 393

29.07.2010, 14:12:09 via Website

Ich denke auch das Firmen die sensible Daten auf ihren Androiden haben dementsprechend auch vorsichtig sein müssen mit Apps installieren. Wie Daniel sagt da dürfen gar nicht erst Apps installiert werden die nicht abgesegnet und geprüft sind. Aus meiner Sicht wäre bei einemk Datenverlust durch eine App die Firma schuld und nicht der Market den die Firma hat dann nicht genügend vorsicht walten lassen.

Trotz allem muss ich natürlich sagen das auch der ganz normale Nutzer gewisse interessante Daten anbieten kann die durchaus für solche dubiosen Datensammler von interesse sind. (E-mail Adresse in verbindung mit Hobbys etc...)

Ich finde das System mit den Rechten die eine App haben muss ein sehr gutes System das aber noch ausgereifter werden muss. Ich habe das gefühl das der DAU noch nicht wirklich durchsieht was er da genau erlaubt. Ich würde mir wünschen das folgende Punkte neu eingeführt werden:

  • Immer wenn Rechte auf hochsensible Daten (Adressbuch / SMS / Mail etc) gefordert werden muss der Nutzer das nochmals bestätigen
  • Die erklährung was genau hinter einem Recht steckt oder eben nicht muss deutlicher und Verständlicher werden für einen DAU
  • Der Entwickler kann jeweils zu jedem recht das er anfordert ein paar Worte schreiben warum er das genau in der APP benötigt. Das verhindert nicht das sich nicht Rechte ermogelt werden können aber Apps die vieleicht wirklich diese Rechte brauchen können auch rechtfertigen warum sie den nun diese rechte brauchen.
  • Man könne auch einbauen das ein recht immer dann erst bestätigt werden muss wenn es zum einsatz kommt. Also App XYZ will ins Netz dann muss ich beim ersten mal bestätigen das sie das darf und kann ein Hacken setzten das es von nun an immer gestattet ist oder aber das es beim nächsten mal wieder fragt. Das soll natürlich für alle Rechte so sein. Das würde mir erlauben rechte nur kurz zu gewähren wenn ich es im griff habe aber sosnt kann die App nichts anrichten.

AndroidPIT-Regeln

Antworten
Evelyn C. 45
Evelyn C.
  • Forum-Beiträge: 7.346

29.07.2010, 14:15:58 via Website

Daniel B.
Evelyn C.
ABER was ist mit denjenigen, die ihren Androiden mit geschäftlichen und wesentlich sensibleren Daten füttern (müssen)?

Wenn einer meiner Mitarbeiter unaufgefordert Apps auf seinem Firmen-Android installieren würde gäbs ne nette Abmahnung, bei tatsächlichem Verlust der Daten ne fristlose inkl. Schadenersatzklage ;)

Welche Firma erlaubt sowas denn seinen Mitarbeitern?

Firma ist das eine. Was ist mit Selbständigen, die Android auch für ihre geschäftlichen Zwecke nutzen?

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
11
afx
  • Forum-Beiträge: 154

29.07.2010, 14:50:47 via Website

Daniel B.
Welche Firma erlaubt sowas denn seinen Mitarbeitern?
Kleine Firmen mit mündigen Mitarbeitern die durchaus fähig sind selber an Security und Datenschutz zu denken?
Es reicht doch 'ne Regelung die sagt, dass keine sensiblen Daten auf's Handy dürfen (nachdem die dort sowieso nicht sinnvoll zu schützen sind).

Wenn ich mir vorstelle ich müsste die Apps genau reglementieren, dann würde die Hälfte der Vorteile von 'nem Android Phone wegfallen.

cheers
afx

— geändert am 29.07.2010, 14:52:24

http://afximages.com/

Antworten
Stupid Luchador 20
Stupid Luchador
  • Forum-Beiträge: 580

29.07.2010, 15:06:05 via App

Der Ansatz mit Kaspersky und Co. wäre tatsächlich eine Alternative. Wird wahrscheinlich garnicht so lange auf sich warten lassen..

Antworten
33
Gelöschter Account
  • Forum-Beiträge: 3.192

29.07.2010, 15:46:16 via Website

Eine 'Firewall' wird es sicher irgendwann auch geben - aber nur auf Root-Basis. Weil eine App, kann der anderen App nicht einfach rein funken... Das ist fest so geregelt.
Deswegen werden wir mal gucken, was noch kommt, eine Firewall wäre sicher nichts schlechtes. :)
  1. Fertigungsprodukt. - „Behandle die Menschen so, als wären sie, was sie sein sollten, und du hilfst ihnen zu werden, was sie sein können.“ - Leitfaden

Antworten
Luigi 34
Luigi
  • Forum-Beiträge: 2.282

29.07.2010, 16:20:18 via Website

Evelyn C.
Daniel B.
Evelyn C.
ABER was ist mit denjenigen, die ihren Androiden mit geschäftlichen und wesentlich sensibleren Daten füttern (müssen)?

Wenn einer meiner Mitarbeiter unaufgefordert Apps auf seinem Firmen-Android installieren würde gäbs ne nette Abmahnung, bei tatsächlichem Verlust der Daten ne fristlose inkl. Schadenersatzklage ;)

Welche Firma erlaubt sowas denn seinen Mitarbeitern?

Firma ist das eine. Was ist mit Selbständigen, die Android auch für ihre geschäftlichen Zwecke nutzen?

Die müssen die Berechtigungen genauso aufmerksam überprüfen, wie private Anwender auch. Wer die Möglichkeit nicht nutzt, ist selber schuld. Im Ürbigen habe ich diese Einsicht in Software, welche ich auf einem PC installieren möchte, vorher nicht. Da muss auch jeder selbst zusehen, wie er seine Daten schützt und im Auge behält, dass Anwendungen nicht ungewollt nach Hause funken. Deshalb steige ich als Selbständiger ja nicht wieder auf Zettel und Stift um, bis da jemand kommt, der das Internet ein bisschen besser kontrolliert.

Im Übrigen verstehe ich den Zusammenhang zwischen der Headline 'Negatives über den Android Markt' und diesem Spy-App-Vorfall nicht.. Es ist doch jeder selbst verantwortlich was er sich bei einem offenen Betriebssystem so alles einfängt. Google stellt doch mit seinem Market nur die technische Möglichkeit bereit, die Apps zentral durchsuchbar und verfügbar zu machen. Mir widerstreben diese ständigen Vergleichsszenarien mit dem AppStore, welcher durch Apple's Kontrolle - nach scheinbar willkürlichen Kriterien - darüberhinaus auch nicht gefeit gegen Malware ist.

Zedge, als Wallpaper&Ringtone App, darf auch alle Deine Kontakte lesen - wahrscheinlich um personalisierte Klingeltöne zuzuweisen. Nach Hause funken tut Zedge natürlich auch - zum Download. Woher weisst Du, dass bei jeder Server-Anfrage nicht auch einer Deiner Kontakte übermittelt wird? Und wie soll so etwas durch Apple oder Google kontrolliert werden?

Kurz um, wer sich etwas mit entsprechenden Berechtigungen installiert, muss wissen was er tut. Sollte eine App durch Hacks - wie auch immer - die Permissions umgehen (wenn irgendwie möglich?), dann wird Google sicher auch sein Remote Application Removal Feature einsetzen :) Denn in dem Fall wird ja nicth die Naivität des Benutzers, sondern eine Sicherheitslücke im System zum Ausspähen von Nutzerdaten genutzt.

Im Grundsatz schadet eine Vorab-Kontrolle durch Big-G sicher nicht, aber zum einen wird bei der Kontroll-Thematik ständig SPAM und Sicherheit vermischt und zum anderen kann ich mir nicht vorstellen, dass sich effektive Kontrollen einführen ließen, welche die grundsätzliche App-Sicherheit gewährleisten. - siehe Spy-Apps im AppStore. Zudem grenzt es auch wieder an Zensur, das jemand bei Google entscheiden soll, dass Zedge Kontakte lesen darf und Jackeey's Wallpaper nicht. Sicher ist das ein Extremfall, allerdings auch wieder so extrem, dass man die Frage ohne Google's Hilfe mit gesundem Menschverstand beantworten kann.

Antworten
noname s. 23
noname s.
  • Forum-Beiträge: 1.485

29.07.2010, 17:11:47 via App

Nicht nur, was hier erwähnt wurde, sondern auch, was ich in anderen Thread geschrieben habe, da die Entwickler immer dreister werden, siehe zum Beispiel App woabi, Fotos machen ... Solche App muss man echt von Market bannen. Gruß

Antworten
37
San Blarnoi
  • Forum-Beiträge: 2.545

30.07.2010, 01:35:03 via Website

Woher weisst Du, dass bei jeder Server-Anfrage nicht auch einer Deiner Kontakte übermittelt wird? Und wie soll so etwas durch Apple oder Google kontrolliert werden?

Das ist richtig, und darum ist

Im Grundsatz schadet eine Vorab-Kontrolle durch Big-G sicher nicht

zu bezweifeln, denn das erzeugt eine Scheinsicherheit, die Leute denken sich "Google hat ja schon geprüft", schauen noch weniger genau hin, was die jeweilige App alles darf und die Datendiebe sind dann die eigentlichen Nutznießer dieser Maßnahme...


kann ich mir nicht vorstellen, dass sich effektive Kontrollen einführen ließen, welche die grundsätzliche App-Sicherheit gewährleisten. - siehe Spy-Apps im AppStore.

Ganz genau, ein wirksamer Schutz ließe sich nur realisieren, wenn der Market-Betreiber von jeder eingestellten App den Sourcecode erhält;
Tests "von außen" lassen sich immer überlisten.

Am Beispiel der Wallpaper-App: ich baue den Spy-Code ein, aktiviere ihn aber nicht direkt;
die App schaut nun bei den Tests immer nur auf dem Server nach Wallpapers, das können die Tester 2 Tage oder 2 Monate lang prüfen, ist alles schick;
sobald ich sehe, das die App im Market ist, kopiere ich ein neues Wallaper namens "spy.jpg" auf meinen Server, die App findet die Datei und fängt mit dem Datenklau an.
An diesem Beispiel kann man mE sehr schön sehen, das jeder Depp in der Lage ist, selbst die ausgiebigsten Labortests zu überlisten.

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

30.07.2010, 07:37:27 via Website

Schade finde ich an der ganzen Geschichte nur, dass hier die Medien schon wieder NICHT recherchieren, sondern nur UNGEFILTERT abschreiben. Mit den Rechten, welche die App hat können bspw. zu keinem Zeitpunkt die Browser History oder SMS ausgelesen werden. Auch beim Rest bin ich Teilweise skeptisch was die Möglichkeit des Auslesens angeht.

Aber die Sensationsgier nach Schlagzeilen scheint alle etwas Blind zu machen, was ich sehr schade finde.

Fakt dürfte wohl zumindest sein, dass diese App's diverse sensible, private Daten an einen in Amerika zu lokalisierenden Server senden der von einer Person mit chinesisch klingendem Namen betrieben wird. Schlimm genug das dies passiert, keine Frage. Diese Tatsache jedoch aus reiner Sensationsgier mit falschen Tatsachen zu würzen ist dagegen genau so wenig OK.

Just my 2 cents ...

lg Voss

Markus S.

Antworten
Luigi 34
Luigi
  • Forum-Beiträge: 2.282

30.07.2010, 10:21:01 via Website

Jörg V.
Schade finde ich an der ganzen Geschichte nur, dass hier die Medien schon wieder NICHT recherchieren, sondern nur UNGEFILTERT abschreiben. Mit den Rechten, welche die App hat können bspw. zu keinem Zeitpunkt die Browser History oder SMS ausgelesen werden. Auch beim Rest bin ich Teilweise skeptisch was die Möglichkeit des Auslesens angeht.

venturebeat: Update: Lookout notes it does not capture browsing history and text messages. It collects your browsing history, text messages, your phone number, subscriber identification, and even your voicemail password, as long as it is programmed automatically into your phone.

Ich hatte die Tatsache gestern mal unter den Teppich gekehrt, weil ich davon ausgegangen war, dass eine seiner "2.584" Apps vielleicht wirklich derartige Berechtigungen hatte.

ZDNet schreibt dann nicht nur ungefiltert, sondern dichtet gleich um: Bei dem Hintergrundbild "Jackeey Wallpaper", das aus dem offiziellen Android-Market heruntergeladen werden konnte.. (weil sie App und Entwickler nicht auseinander halten können). Und schafft es dann noch nicht mal sinnvoller irgendwo hin zu verlinken (News-Quelle) als zu My Little Pony von Hasbro....

Ich sehe den Medienwirbel genauso wie Jörg..

— geändert am 30.07.2010, 10:22:26

Antworten
Evelyn C. 45
Evelyn C.
  • Forum-Beiträge: 7.346

30.07.2010, 11:58:07 via Website

Am Beispiel der Wallpaper-App: ich baue den Spy-Code ein, aktiviere ihn aber nicht direkt;
die App schaut nun bei den Tests immer nur auf dem Server nach Wallpapers, das können die Tester 2 Tage oder 2 Monate lang prüfen, ist alles schick;
sobald ich sehe, das die App im Market ist, kopiere ich ein neues Wallaper namens "spy.jpg" auf meinen Server, die App findet die Datei und fängt mit dem Datenklau an.
An diesem Beispiel kann man mE sehr schön sehen, das jeder Depp in der Lage ist, selbst die ausgiebigsten Labortests zu überlisten.

DAS war jetzt schon sehr detailliert... jetzt geht's mir doch gleich VIEL besser... :(

Aber wenn das so einfach ist, die Bombe quasi zeitversetzt zu zünden, dann müßte m.E. erst recht eine Art Scanner oder Wall oder was-auch-immer her, die genau das in dem Moment erkennt und Alarm schlägt. Ist sowas auf Android machbar? Denn ich meine, wer von uns weiß denn schon, ob er nicht so einen Zeitzünder an Bord hat? Ich glaube dir auf's Wort, daß es easy ist, sowas in den Codezeilen zu verstecken, aber dann sollte es doch auch machbar sein, ein "Gegenmittel" dazu zu schreiben, oder?

Und wie auch immer nun die Meldungen, die inzwischen von allen Seiten zu diesem "Jackeey Wallpaper" hochpoppen, zustande gekommen sind, und wieviel Wahrheit und/oder Dichtung auch immer enthalten ist, Fakt ist sicher, daß (s. deine Erklärung) sowas ohne weiteres möglich ist (und infolgedessen auch bestimmt schon gemacht wurde) und ich so ein "Abholen" meiner Daten auf meinem Androiden alles andere als gut finde und diese Möglichkeit schnellstmöglich unterbunden werden sollte. IMHO sind sowohl Google als auch Apple, die ja beide eine eigene Plattform für ihre Apps anbieten, hier auch juristisch in der Verantwortung, was einen wie auch immer gearteten Schaden angeht, der einem User durch so eine infizierte App entsteht (hier drängt sich mir immer das Thema Wirtschaftsspionage auf - klingt erst mal nach Mission Impossible, aber letztendlich KANN genau das mit sensiblen Daten passieren).

Wir hatten hier schon die Meinungen, daß Android Apps a) generell nicht auf Firmenhandys zum Einsatz kommen sollten/dürfen und b) wenn schon, dann nur solche, die vertretbar sind. Aber wenn ich jetzt mal als wahr unterstelle, was Big-G propagiert, nämlich daß täglich ca. 160.000 Androiden neu hinzukommen, dann kann man einfach nicht mehr davon ausgehen, daß das alles ausschließlich "nur" Leute wie du und ich sind mit maximal sowas wie Ommas Geburtstag auf'm Handy. Obwohl ich mich auch gegen die "Abholung" meiner Omma ihrer Daten verwahren würde. Nein, da sind mit Sicherheit auch Leute dabei, die Android (und gefällige Apps, und eben auch die für die kurze Pause zwischendurch) für geschäftliche Zwecke nutzen werden/wollen. Soll nicht mit der Froyo Version auch die Möglichkeiten hinsichtlich der Integration in die Unternehmens-IT verbessert werden? Insbesondere in puncto Microsoft Exchange? Nicht nur diese User sind mit Sicherheit darauf bedacht, an ihrem PC alle Mittel zum Einsatz zu bringen, die diese Art des Datenklaus unterbinden können. Und es muß einfach möglich sein, die gleiche Sicherheit für ihren Androiden anzubieten.

Was mich in diesem Zusammenhang immer wieder zum Grübeln bringt und vielleicht den meisten Nicht-Nerds gar nicht so richtig bewußt ist: viele, viele Leute, die sich einen Androiden zulegen, wissen gar nicht (oder interessiert es nicht), welches Betriebssystem auf ihrem Handy läuft (erst dieser Tage wieder festgestellt) und holen sich das Teil nur wegen der inneren und äußeren Optik und -hurra!- so viele klickibunti Apps!

Da sehe ich einfach ein Gefahrenpotential hinsichtlich unseres Themas hier, dem m.E. zügig entgegen getreten werden muß.

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
Daniel B. 13
Daniel B.
  • Forum-Beiträge: 191

30.07.2010, 12:18:31 via Website

Es gibt bereits eine App die das Handy relativ gut abschirmt.
https://www.nextpit.de/de/android/market/apps/app/com.googlecode.droidwall/DroidWall-Root-Required

Zum Thema Firmenkunden nochmal.
Prinzipiell ist das imho tatsächlich zu vernachlässigen. Wer sicherheitsrelevante Daten auf seinem Handy hat und dann "unnütze" Apps aufspielt handelt genauso fahrlässig als würde er am Arbeitsplatz-PC keine Firewall/Virenscanner installieren.
Mit solchen Leuten muss man nicht trauern.

Eine Kontrolle durch G ist da auch nutzlos. Wenn man schon die "mündigen" Mitarbeiter/Bürger anspricht muss man diese auf für mündig was die Verantwortung angeht ansehen.

www.des1gn.de - design,marketing,entwicklung

Antworten
Luigi 34
Luigi
  • Forum-Beiträge: 2.282

30.07.2010, 12:27:42 via Website

Evelyn C.
Aber wenn das so einfach ist, die Bombe quasi zeitversetzt zu zünden, dann müßte m.E. erst recht eine Art Scanner oder Wall oder was-auch-immer her, die genau das in dem Moment erkennt und Alarm schlägt. Ist sowas auf Android machbar?

--> [app]Lookout Mobile Security FREE[/app] :P :wink:

Der Bedarf danach wird wie bei (fast) jedem anderen Betriebssystem steigen, da stimme ich Dir voll zu. Und auch das klickibunti unterschreib ich Dir. Daher betritt halt jeder die Baustelle auf eigene Gefahr ;-)


EDIT:
Deinen Kommentar zu Lookout habe ich gerade erst gesehn. Das Geschäftsmodell wird wohl sein, Aufmerksamkeit zu erregen. Und wenn der Bedarf dann groß genug ist, auch Geld dafür zu verlangen/kassieren.
Im Zweiten Kommentar findet sich dann wohl einer der klickiklicki-Kameraden: "20.12.2009 00:56:02 was für viren soll es den geben für ein android hahaha "

— geändert am 30.07.2010, 12:35:08

Antworten
37
San Blarnoi
  • Forum-Beiträge: 2.545

31.07.2010, 00:10:30 via Website

DAS war jetzt schon sehr detailliert... jetzt geht's mir doch gleich VIEL besser...

Klingt jetzt vielleicht blöd, aber das war der Plan :)
Ausführlicher: mit dem Beispiel wollte ich zeigen, wie einfach sowas geht und wie unmöglich es ist, sowas durch Kontrollen seitens Google (oder Apple) in den Griff zu bekommen.
Wenn das gelungen ist, dann habe ich folgende Ziele erreicht:
1. klargestellt, das eine Diskussion um Kontrolle durch den Marktbetreiber gar nichts bringt (wenn es um Schadsoftware geht)
2. klargestellt, das eine solche Kontrolle sogar kontraproduktiv ist, weil es die User sorgloser mit den Downloads umgehen läßt
3. klargestellt, das es sich hier nicht um ein Android-Problem handelt, sowas läßt sich auf jedem System realisieren
4. die Leser hoffentlich für das genaue Lesen der von den Apps geforderten Rechte sensibilisiert - denn das ist der einzige wirksame Schutz.


Ich glaube dir auf's Wort, daß es easy ist, sowas in den Codezeilen zu verstecken, aber dann sollte es doch auch machbar sein, ein "Gegenmittel" dazu zu schreiben, oder?

Da bin ich jetzt nicht der Fachmann, aber aus meiner Sicht wird das kaum gelingen;
mal aus dem Stegreif:
aus Sicht der Maschine ist das Senden deiner Kontakte nicht weiter als die Übertragung einiger Bytes - da kann nicht automatisch unterschieden werden, ob in dem Datenstrom nur gute oder vielleicht auch ein paar "böse" Bytes enthalten sind.
Selbst wenn das System die gesendeten Bytes zu interpretieren versuchen würde, könnte der Entwickler der Schadsoftware diesen Versuch stets scheitern lassen, etwa indem die Daten verschlüsselt, gepackt oder zeitlich versetzt in diversen Schnipseln versendet werden.

Als möglichen Ansatz sehe ich da eher die Tatsache, das eine Android-App alle "ausserhalb" anfallenden Infos (Kontakte, SMS, Telefonnummer etc) nur durch Verwendung von Systemfunktionen erlangen kann;
hier könnte zumindest ein Logfile geführt werden, aus dem ablesbar ist, welche App zu welchem Zeitpunkt welche Daten abgerufen hat.
Nachteil: wenn die verdächtigen Einträge im Logfile gefunden werden, ist das Kind bereits in den Brunnen gefallen ;)
Das System könnte beim Abruf sensibler Daten durch eine App auch eine Erlaubnis vom Benutzer einholen (wie SuperUser bei gerooteten Geräten), das würde den geneigten User aber wahrscheinlich ratzfatz total auf die Nerven gehen, wenn dadurch alle Nase lang sein Arbeitsfluss unterbrochen wird;
also würde der Dialog einen "immer erlauben" Knopf bekommen und schwupps würde Reiner Juhser den immer gleich mal klicken, damit er seine Ruhe hat.
Damit wäre dann genau gar nichts gewonnen.

Ist Freitag abend, war ne lange Woche, bin ziemlich müde, daher breche ich die Überlegungen an dieser Stelle mal ab.


IMHO sind sowohl Google als auch Apple, die ja beide eine eigene Plattform für ihre Apps anbieten, hier auch juristisch in der Verantwortung

Auf welche Grundlage stützt sich diese Vermutung?



Wir hatten hier schon die Meinungen, daß Android Apps a) generell nicht auf Firmenhandys zum Einsatz kommen sollten/dürfen

Ich glaube, es war von "nicht autorisierten" Apps die Rede ("Wenn einer meiner Mitarbeiter unaufgefordert Apps auf seinem Firmen-Android installieren würde").
Bei uns ist das zwar nicht so, aber ich könnte schon verstehen wenn der Chef dem Außendienstler "Spielkram" auf dem Firmenhandy untersagt, wenn da gleichzeitig die komplette Kunden-Datenbank drauf ist.

Antworten
11
Thomas
  • Forum-Beiträge: 162

31.07.2010, 10:17:45 via Website

"Wenn einer meiner Mitarbeiter unaufgefordert Apps auf seinem Firmen-Android installieren würde"....

Ist einfach dahergeschrieben, würde aber vor einem Arbeitsgericht kaum Erfolgsaussichten haben. War doch schon die Auswahl des Arbeitsgerätes ungenügend. Mit den Infos über den Market (so reisserisch sie sein mögen), würde man das auch leicht untermauern können. Hat der Richter auch nur etwas Ahnung fragt er einfach warum auf so einem Gerät überhaupt wichtige Firmendaten waren. Warum die Auswahl dann nicht auf geeignete Geräte wie BB gefallen ist. Seis drum.

Wichtiger war doch das Argument mit der Kontrolle (die ja nicht so strikt sein muß wie bei Apple). Natürlich kann man so etwas umgehen, austricksen und unterlaufen. Ist das ein Grund gar keine durchzuführen? Nein. Fenster kann man offensichtlich mit schweren Steinen umgehen. Baut man deswegen keine ein? Offensichtlich tut man das obwohl man sie leicht umgehen kann. Und die meisten Menschen verwenden sie nicht nur, damit es drinnen warm bleibt sondern auch um unliebsame Gäste draußen zu halten. Nur weil man einige Wenige nicht abhalten kann verwendet man dennoch diesen Schutz.

Gerade im Falle der Wallpaper App wäre eine rudimentäre Regel nützlich gewesen, die Zweck der App und Anforderung von Rechten abgleicht. Auf Feedback von Nutzern scheint man im Market ja auch nur sehr langsam zu reagieren. Erst wenn es an die große Glocke gehängt wird (wie im Falle Lookout) reagiert man dort (vieleicht). All das macht den Market nicht vertrauenswürdiger.

Ja, letztlich ist jeder für das was er tut selbst verantwortlich. Aber dann muß man sich nicht wundern, wenn gerade die einfachen Nutzer das auch tun und solche Geräte zukünftig meiden. Android wird dann eben zum Nerd Gerät was nur einige Wenige nutzen weil sie halt mit rumspielen wollen. Die Mitbewerber wirds freuen. Allen voran die schlafmützigen Nokias die dann mit zwei Jahren Verspätung doch noch zum Smartphone Primus werden weil sie einfach mal auf den unsicheren Market verweisen. Will Google die Marke Android langfristig stärken, schützen, ausbauen und tatsächlich 1 Mrd. $ im Jahr damit verdienen, dann muß man auch am Market arbeiten. Auch daran, daß man dort nicht allzuleicht über den Tisch gezogen wird.

— geändert am 31.07.2010, 10:18:14

Antworten
37
San Blarnoi
  • Forum-Beiträge: 2.545

31.07.2010, 14:09:14 via Website

Ich würde es gut finden, wenn wir uns im weiteren Verlauf dieser Diskussion nicht mehr auf das Wallpaper-Beispiel beziehen würden, denn offenbar hat (das dann asoziale Gesocks bei) Lookout das ganze nur bewußt falsch formuliert, um in die Schlagzeilen zu gelangen...

Zum einen haben das die mittlerweile selber relativiert zu "While the data this app is accessing is certainly suspicious coming from a wallpaper app, we want to be clear that there is no evidence of malicious behavior." (Quelle) (Quelle)

Zum anderen hat sich der Autor der fraglichen Apps auch selber zu Wort gemeldet. (Quelle) (Quelle)

Mit dieser Art der Argumentation sollten die sich erstmal an die eigene Nase fassen und sich selbst ganz oben auf die Liste der "verdächtigen" Apps setzen:
* Kontaktdaten lesen, Eigentümerdaten lesen, Kalenderdaten schreiben, Kontaktdaten schreiben
* SMS oder MMS lesen, SMS empfangen, SMS oder MMS bearbeiten
* bekannte Konten suchen, Kontoliste verwalten
zusammen mit
* uneingeschränkter Internetzugriff

bei einem "Virenscanner"...
böse Zungen könnten jetzt behaupten, das die Zusatzfunktionalität "Backup" nur implementiert wurde, um diese Berechtigungen zu rechtfertigen :P

@Evelyn: dein Kommentar zu dieser App würde die bösen Zungen zu einem "genau!" inspirieren ;)

Antworten
27
Gelöschter Account
  • Forum-Beiträge: 2.006

31.07.2010, 15:01:26 via Website

and dev
Ich würde es gut finden, wenn wir uns im weiteren Verlauf dieser Diskussion nicht mehr auf das Wallpaper-Beispiel beziehen würden, denn offenbar hat (das dann asoziale Gesocks bei) Lookout das ganze nur bewußt falsch formuliert, um in die Schlagzeilen zu gelangen...

D'accord!

Schon bemerkenswert, daß ausgerechnet die Sicherheitsfirma Lookout, die den "Skandal"
publik machte, diese von dir erwähnte Sicherheits-App im Market plaziert hat: Lookout-Mobile-Security-FREE

Ein Schelm, wer Böses dabei denkt! :wink:

Der Vollständigkeit halber mal alle Berechtigungen dieser "Sicherheits"-App

Diese Anwendung kann auf Folgendes zugreifen:

* Ihr Standort
ungefährer (netzwerkbasierter) Standort, genauer (GPS-) Standort
* Netzwerkkommunikation
Netzwerkstatus anzeigen, uneingeschränkter Internetzugriff
* System-Tools
Anwendungen permanent ausführen, System-Protokolldateien lesen, Automatisch nach dem Booten starten, Standby-Modus deaktivieren, allgemeine Systemeinstellungen ändern, Synchronisierungseinstellungen lesen, Synchronisierungseinstellungen schreiben, Tastensperre deaktivieren, Alle Cache-Daten der Anwendung löschen
* Ihre persönlichen Informationen
Kontaktdaten lesen, Eigentümerdaten lesen, Kalenderdaten schreiben, Kontaktdaten schreiben, , , nutzerdefiniertes Wörterbuch lesen, in nutzerdefiniertes Wörterbuch schreiben
* Anrufe
Telefonstatus lesen und identifizieren
* Ihre Nachrichten
SMS oder MMS lesen, SMS empfangen, SMS oder MMS bearbeiten
* Hardware-Steuerelemente
Vibrationsalarm steuern, Audio-Einstellungen ändern
* Ihre Konten
bekannte Konten suchen, Kontoliste verwalten


:rolleyes:

Gruß Johann

— geändert am 31.07.2010, 15:09:34

Bitte beachten! > AndroidPIT-Regeln

Antworten
11
Thomas
  • Forum-Beiträge: 162

31.07.2010, 23:23:48 via Website

and dev
Ich würde es gut finden, wenn wir uns im weiteren Verlauf dieser Diskussion nicht mehr auf das Wallpaper-Beispiel beziehen würden, denn offenbar hat (das dann asoziale Gesocks bei) Lookout das ganze nur bewußt falsch formuliert, um in die Schlagzeilen zu gelangen...

Dem kann ich zustimmen. Das Beispiel (Extrembeispiel) ist aber eben gut geeignet gewesen um überspitzt das Problem zu umreißen. Wallpaper (und Puzzle) Apps wurden ja auch von Dir als Beispiel in anderen Trhreads verwendet um Für und Wieder von Kontrolle des Markets zu beleuchten.

Meine Meinung ist eben momentan (ich bin da lernfähig), daß es eine gewisse Kontrolle benötigt. Entweder von einer zentralen Instanz (was seine Vor- und Nachteile hat) oder durch die Nutzer (auf was selbiges zutrifft).Ich bin, was Android Phones angeht, Neuling. Aber was mir da entgegenspringt ist nicht lustig. Müll soweit das Auge reicht. Wirklich gute Apps findet man nicht im Market. Man lädt sie allenfalls von dort. Ich selbst bin durchaus auch bereit für Apps zu zahlen, aber so wie der Market ist, wird einem das nicht leicht gemacht.

Daß Lookout da durchaus eigene Interessen vertritt dürfte jedem klar sein. Daß es so mit dem Market aber nur abwärts gehen kann wird jedem klar, der nur nach Apps sucht, und sich nicht wie Evelyn damit als sozusagen Hobby beschäftigt. ich war heute auf Androidpit um nach Apps zu suchen. Primär solchen die ein Nerd sucht. Also Androidpit.de, Apps angeklickt und 6/7 Asian [irgenwasweibliches] gefunden. Gerade jetzt sind es noch 4/7 Asian ***. Vom Market an einem Desire will ich erst gar nicht reden. Sowas ist nur eines, sinnlos. Da kann man auch bei Windows Mobile bleiben. Das ist technisch veraltet, aber man findet auf gleichem Wege bessere Apps als für Android. Bei beiden OS muss man z.B. für KeePass die Google Websuche bemühen um geeignete Treffer zu finden. Der Market ist dafür ungeeignet.

Antworten
11
Thomas
  • Forum-Beiträge: 162

31.07.2010, 23:33:42 via Website

Johann Q.
[
Schon bemerkenswert, daß ausgerechnet die Sicherheitsfirma [b]Lookout[/b], die den "Skandal"
publik machte, diese von dir erwähnte Sicherheits-App im Market plaziert hat: Lookout-Mobile-Security-FREE

Ein Schelm, wer Böses dabei denkt! :wink:

Der Vollständigkeit halber mal alle Berechtigungen dieser "Sicherheits"-App

Du beschreibst eindrücklich das Problem und warum eine irgendwie geartete Kontrolle nötig ist. Die einen schreiben die SpyWare, die Anderen die anti Spyware Spyware. Schlägt Google nicht irgendwann auf den Tisch können sie die Marke Android auch gleich einstampfen. Das tangiert User doch genauso wie ehrliche Entwickler. Die einen wollen ordentliche Apps, die anderen wollen mit ordentlichen Apps Geld verdienen. Beide werden gerade von einigen wenigen beschi**en.

— geändert am 31.07.2010, 23:35:36

Antworten
Daniel B. 13
Daniel B.
  • Forum-Beiträge: 191

01.08.2010, 11:26:58 via Website

Das ist alles keine schlüssige Argumentation.
Man stelle sich vor Microsoft sagt für Windows 8 wird eine Kontrolle der installierbaren Software durchgeführt (mal von der technischen Unmöglichkeit abgesehen). Wo kommen wir hin wenn der OS Hersteller zu entscheiden hat was ich mir installieren darf und was nicht?
Dann kann ich mir ein eiPhone kaufen!

Gut, unter Windows gibts Firewalls, Viren- und Spyware-Scanner en masse, aber für diese bezahlt man auch einen ordentlichen Preis, und sei es nur die immense Hardwareanforderung.

Für all die angesprochenen Probleme gibt es "per Hand"-Lösungen (bzw. Apps). Google "darf" dafür nicht die Verantwortung übernehmen. Niemand will einen "Jailbreak" für Android. Das würde zu Forks führen und was das bedeutet kann sich wohl jeder denken.

Und zum Thema Arbeitsgericht noch. Schonmal was von Datenschutzklauseln in Arbeitsverträgen gehört?
Rechtlich vollkommen uninteressant auf welchem "Gerät" ich die Daten meinem Mitarbeiter gebe. Und wenns ein karierter Block inkl. Stift ist.
Das wär ja noch schöner, wenn ich als Arbeitgeber verantwortlich dafür wäre wenn mein Mitarbeiter sich Dinge auf ein Firmengerät installiert, was ihm vertraglich untersagt ist.
Vergleichbare Situation: Ein Mitarbeiter bringt von Zuhause per USB Stick einen Virus in mein Netzwerk. Rechtlich ist die Sache eindeutig, private USB-Sticks sind per Vertrag ausgeschlossen. Und ganz sicher kommt kein Richter auf das Argument, dass ich selber schuld bin weil meine Firmen-PCs USB-Anschlüsse haben und der MA so die Möglichkeit überhaupt hatte.
Vertragsrecht - Ein Vertrag ist grundsätzlich bindend solange kein § ungesetzlich ist.

— geändert am 01.08.2010, 11:30:10

www.des1gn.de - design,marketing,entwicklung

Antworten
37
San Blarnoi
  • Forum-Beiträge: 2.545

01.08.2010, 14:22:14 via Website

oder durch die Nutzer (auf was selbiges zutrifft)

Welche Nachteile siehst du in einer Kontrolle durch den Benutzer?


Müll soweit das Auge reicht.

Das sehen wir sicher beide so, aber wer entscheidet denn, was Müll ist und was nicht?
Ich z.B. würde u.a. die Millionen Themes ausblenden wollen, oder Soundboards oder Klingelton-Apps, da bist du vielleicht gänzlich anderer Meinung.

Damit sollte schon hinreichend geklärt sein, das eine Filterung/Kontrolle nicht durch eine zentrale Instanz durchgeführt werden kann, oder?


Vom Market an einem Desire will ich erst gar nicht reden. Sowas ist nur eines, sinnlos. Da kann man auch bei Windows Mobile bleiben. Das ist technisch veraltet, aber man findet auf gleichem Wege bessere Apps als für Android. Bei beiden OS muss man z.B. für KeePass die Google Websuche bemühen um geeignete Treffer zu finden.

Den Teil habe ich glaube ich nicht verstanden ;)
Für WinMob gibts nen zentralen Market, für den eine App auf dem Phone vorinstalliert ist?
Oder ist KeePass für WinMob besser als für Android, wenn man beide via Google sucht?


Der Market ist dafür ungeeignet.

Das stimmt, die Suche könnte besser sein und Stöbern am Phone macht wegen der fehlenden Filter keinen Spaß.
Darum erledige ich das Suchen via AndroidPIT und das Stöbern via Google Reader (gefüttert von AndroidPIT), gemütlich am PC mit nem 24" Monitor, statt mich über die nicht überragende Qualität einer einzelnen, vorinstallierten App aufzuregen :)
Das Stöbern könnte zwar auch hier besser funktionieren (wenn AndroidPIT endlich Filter einführen würde), aber im Reader bin ich per Mausrad an den für mich uninteressanten Einträgen schnell vorbei.

Antworten
11
Thomas
  • Forum-Beiträge: 162

02.08.2010, 08:24:09 via Website

Den Teil habe ich glaube ich nicht verstanden ;)
Für WinMob gibts nen zentralen Market, für den eine App auf dem Phone vorinstalliert ist?
Oder ist KeePass für WinMob besser als für Android, wenn man beide via Google sucht?

Damit war gemeint, daß man den Market für die Suche nach Apps vergessen kann (rein subjektiv). Sowohl für Windows Mobile als auch Android sucht man besser anders. Das was Du beschreibst. Ich suche ähnlich. Gedacht war es für Android von Google aber anders.

Die Situation: Handy in der Hand, auf Geschäftsreise dringend App benötigt (nein nicht KeePas, war nur ein Beispiel) --> Notbook anschmeissen.

Antworten
11
Thomas
  • Forum-Beiträge: 162

02.08.2010, 08:32:58 via Website

Daniel B.
Das ist alles keine schlüssige Argumentation.
Man stelle sich vor Microsoft sagt für Windows 8 wird eine Kontrolle der installierbaren Software durchgeführt (mal von der technischen Unmöglichkeit abgesehen). Wo kommen wir hin wenn der OS Hersteller zu entscheiden hat was ich mir installieren darf und was nicht?
Dann kann ich mir ein eiPhone kaufen!

Es geht nicht darum, daß ein Hersteller vorschreibt was man installieren kann und was nicht (PS.: Das ist schon Fakt bei 64Bit Treibern). Es geht hier um einen Marktplatz. Marktplätze werden fast überall reguliert. Übertrage es einfach mal ins richtige Leben.
Kein ernst zu nehmendes Software Repository ist vollkommen unreguliert. Beispiele gibt es genug.


Daniel B.
Und zum Thema Arbeitsgericht noch.
Mir ging es nicht um eine schlüssige, juristische Argumentation, sondern darum, daß es sich dieser Arbeitgeber zu einfach macht. Alles andere wäre auch zu sehr OT. So einfach wie er es dahinschrieb ist es nicht. Immerhin schrieb er, daß er den MA gleich fristlos kündigen würde.

Antworten
37
San Blarnoi
  • Forum-Beiträge: 2.545

02.08.2010, 11:17:10 via Website

Damit war gemeint, daß man den Market für die Suche nach Apps vergessen kann (rein subjektiv).

Dem würde ich zustimmen, aber damit sind wir jetzt wohl endgültig im OT gelandet, oder siehst du das anders? ;)


Gedacht war es für Android von Google aber anders.

Nachdem ich nicht weiß, was "Google" denkt, würde ich eher formulieren: wir alle hoffen/wünschen uns, das Google sich das anders gedacht hat und darum vielleicht noch nachbessert ;)
Ich persönlich kann eigentlich gut damit leben, mir die benötigten Apps gemütlich am PC zu suchen und dann einfach den Barcode zu scannen, aber der Plattform Android wäre eine bessere Market-App sehr wahrscheinlich zuträglich.

Antworten