NACHGEFRAGT: App Permission "Vertrauliche Protokolldaten lesen" ?

  • Antworten:11
  • OffenNicht stickyNicht beantwortet
  • Forum-Beiträge: 7.355

07.04.2011, 12:18:32 via Website

Kann bitte einer der hier anwesenden Devs erläutern, ob und wenn ja, wofür diese Berechtigung benötigt wird - und was genau an persönlichen Daten sie übermitteln kann, die im Allgemeinen nicht vom Handy des Besitzers nach außen gelangen sollten?

Die Frage ergab sich in einem anderen Thread, dort wurde festgestellt, dass z.B. die App GO Weather diese Permission beinhaltet (wie auch die meisten GO-Apps).

Vertrauliche Protokolldaten lesen
Ermöglicht einer Anwendung, die verschiedenen Protokolldateien des Systems zu lesen. So können allgemeine Informationen zu den auf Ihrem Gerät durchgeführten Aktionen eingesehen werden. Diese können persönliche oder geheime Daten enthalten.

Ist diese Berechtigung ein zweischneidiges Schwert? Zum einen nützlich für den Dev, um seine App von Bugs zu befreien, zum anderen mit der Gefahr verbunden, dem Dev dadurch unfreiwillig auch irgendwelche (welche?) persönliche Informationen an die Hand zu liefern, die ihn absolut nichts angehen?

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
  • Forum-Beiträge: 2.243

07.04.2011, 12:37:12 via Website

Wenn ich das richtig verstehe, dürfte das nur ein Problem sein, wenn irgendwelche Apps sensible Daten (zu debugging Zwecken) ins Log schreiben.
Sauber programmierte Apps sollten sowas aber IMHO nicht tun.
Hängt aber natürlich davon ab welche Protokolle es da so gibt. Auch eine aufgerufene URL mit Login-Parametern kann schon reichen.

Antworten
  • Forum-Beiträge: 7.355

07.04.2011, 13:02:03 via Website

[quote=Rafael K.]Wenn ich das richtig verstehe, dürfte das nur ein Problem sein, wenn irgendwelche Apps sensible Daten (zu debugging Zwecken) ins Log schreiben./quote]

Hm, das ist dann ja quasi wie's Hornberger Schießen. Denn weiß ich als Normalo-User, ob meine auf dem Telefon installierten Apps solche sensiblen Daten ins Log schreiben? Ich meine, man kann einem normalen User doch nicht zumuten, alle seine Apps daraufhin zu überprüfen.

Mit anderen Worten: wenn ich mir nicht sicher bin, ob ein Dev, der hinter so einer App mit dieser Permission steht, Schindluder damit treibt, dann darf ich sie nicht installieren. Das wäre aber gerade im Falle der GO-Apps eine traurige Sache.

Wobei ich aber immer noch nicht weiß, WELCHE Art von persönlichen Daten aus diesen Logfiles ausgelesen werden können....?

— geändert am 07.04.2011, 13:03:32

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
  • Forum-Beiträge: 2.243

07.04.2011, 13:08:54 via Website

Das hängt halt davon "App" :D welche App was loggt.

Stell Dir z.B. vor meine eBay App würde bei jedem Login ins Protokoll schreiben: "Logging in user BLA with password XYZ"
Wenn nun andere Apps Zugriff auf dieses Protokoll haben, können die Daten geklaut werden.
Genau aus dem Grund loggt meine App so ungefähr garnichts, aber man weiß halt nie wie sauber die Leute so programmieren, die auch hinter großen Apps stecken.

Es gibt auch Seiten (eBay gehört nicht dazu) bei denen der Login über URL Parameter erfolgt:
http://example.com?login=XYZ&pass=BLA

Da reicht schon ein Protokoll mit den aufgerufenen URLs im HTTP Stack, um Benutzerdaten zu klauen.

Keine Ahnung ob es sowas bei Android gibt.

Antworten
  • Forum-Beiträge: 7.355

07.04.2011, 13:20:50 via Website

Hmmm......... ich danke dir für deinen Kommentar, aber insgesamt betrachtet läßt mich das jetzt ziemlich "unbefriedigt" zurück. :unsure:

Woher soll ich als User denn wissen, ob und wenn ja welche App solche Sachen wie "Logging in user BLA with password XYZ" ins Logfile schreibt? Und welche andere App das dann abgreift?

Ich selbst habe ja keine so sensiblen Sachen wie Passwörter auf meinem Device (wenn man von den Emailkonten mal absieht), aber ich wette, viele andere haben. Es schwebt also ständig so ein Damoklesschwert über einem, dass eine "böse" App, also ein "böser" Dev, das durchaus ausnutzen könnte...

Weiß nicht, wie ich mich dabei fühlen soll...:mad:

We choose our destiny in the way we treat others Apps nach EinsatzzweckKleine, tolle Helferlein (Apps)

Antworten
  • Forum-Beiträge: 2.243

07.04.2011, 13:29:12 via Website

Was eine App so loggt, kannst Du z.B. im LogCat sehen.
Das geht in den Android Entwicklungsumgebung mit aktiviertem USB-Debugging.

Ob das nun eine gangbare Lösung für Endbenutzer ist, steht auf einem anderen Blatt :)

Ein bisschen Vertrauen gehört halt auch dazu.

Ganz ausschliessen kann man sowas nie und bei keiner Software. Das sollte Dir auch klar sein.
Theoretisch könnte dir auch jeder Browser deine Zugangsdaten klauen...oder ein Browser-Plugin...die stammen ja auch meist von kleinen Entwicklern.
Ein Browser ist ja im Grunde auch nur eine App, in die du deine Zugangsdaten eingibst und jedes Plugin kann die abgreifen.
Warum traut man denen mehr? Es ist auch nur Software, die von Menschen programmiert wird.


EDIT:
Man traut denen mehr, weil dahinter eine große Organisation steht und viele zufriedene Nutzer und weil man noch nie von Datenmissbrauch mit dem Programmen gehört hat. Die gleichen, oder ähnliche Kriterien sollte man auch bei Apps anlegen.
Im Grunde steht hinter jeder App ja auch ein Entwickler, der damit Geld verdient und sich keinen Imageschaden leisten kann.
Er wird also in der Regel alles tun, seinen guten Ruf zu festigen. Genau wie man bei eBay seine Transaktionen sauber abwickelt, um sein Bewertungsprofil sauber zu halten.
Man sollte hier einfach der Intelligenz der Masse vertrauen :)

(Hab das jetzt mal angefügt, weil der Absatz oben sonst ein bisschen unnötig Panik verbreitet :D Ganz so dramatisch war das nicht gemeint. Es sollte nur mal zum Nachdenken anregen.)

— geändert am 07.04.2011, 13:50:38

TazZ.HD

Antworten
  • Forum-Beiträge: 2.545

07.04.2011, 19:43:54 via Website

Was eine App so loggt, kannst Du z.B. im LogCat sehen.
Das geht in den Android Entwicklungsumgebung mit aktiviertem USB-Debugging.

Ob das nun eine gangbare Lösung für Endbenutzer ist, steht auf einem anderen Blatt :)

Es gibt auch Apps, die das Log anzeigen können, das wäre für Endbenutzer wohl eher ein gangbarer Weg, sich die Sache mal selber anzuschauen ;)
Als Beispiel mag aLogCat dienen.

Antworten
Gelöschter Account
  • Forum-Beiträge: 7.924

08.04.2011, 10:06:40 via Website

and dev
Was eine App so loggt, kannst Du z.B. im LogCat sehen.
Das geht in den Android Entwicklungsumgebung mit aktiviertem USB-Debugging.

Ob das nun eine gangbare Lösung für Endbenutzer ist, steht auf einem anderen Blatt :)

Es gibt auch Apps, die das Log anzeigen können, das wäre für Endbenutzer wohl eher ein gangbarer Weg, sich die Sache mal selber anzuschauen ;)
Als Beispiel mag aLogCat dienen.

Nach so einer App hätte ich jetzt gefragt!

Reicht es in diesem Logs dann nach seinen PWs, oder anderen bekannten Daten zu suchen? So ein Logfile muss man ja auch erst mal lesen können!?


Ich trau mich mal GO SMS Pro zu installieren^^

Danke Evelyn Chocal für die Nachfrage!

— geändert am 08.04.2011, 10:07:15

Desire HD > Note 2 LTE > Moto G > OnePlus One [Cyanogen OS | CM11S | root]

und jetzt noch ein Nexus 10 [Android 5 | root]
:D

Antworten
  • Forum-Beiträge: 2.243

08.04.2011, 10:12:41 via Website

Man sieht ja schon am Beginn jeder Zeile von welcher App die stammt (am Package).

Dann kann man ja einfach mal eine bestimmte App starten...ein paar Aktionen machen und direkt im Anschluss ins LogCat nach Ausgaben dieser App gucken.

Antworten
Gelöschter Account
  • Forum-Beiträge: 7.924

09.04.2011, 22:30:09 via App

Also Go Sms sendet definitiv Daten - habe das eben mit TrafficInfo bemerkt!

Glaube ich installiere erst mal nichts mehr von denen!

— geändert am 10.04.2011, 00:10:25

Desire HD > Note 2 LTE > Moto G > OnePlus One [Cyanogen OS | CM11S | root]

und jetzt noch ein Nexus 10 [Android 5 | root]
:D

Antworten
  • Forum-Beiträge: 156

12.04.2011, 13:59:41 via Website

Mal anderes herum blöd gefragt: Welchen halbwegs vernünftigen Zweck kann es denn für eine App haben die Log Dateien anderer Programme zu lesen? Wir spekulieren hier alle schön darüber wie man das missbrauchen kann oder nicht. Mir ist allerdings absolut unklar wofür man es ohne böse Hintergedanken denn vernünftigerweise gebrauchen kann.

Irgendwelche Ideen?

Antworten

Empfohlene Artikel