Mathias Schreiter
Ein Hallo an die Spezialisten!
Als solchen bezeichne ich mich bezüglich Android nicht. Dazu fehlt mir entsprechend tiefes Detailwissen. Dennoch kann ich sicher den einen oder anderen Anstoß zu einer Diskussion geben.
Mathias Schreiter
Doch wie offen in einem offenen WLAN oder im UMTS-Netz die Ordner- und Dateistruktur ist, welche Möglichkeiten man (böswillig?) von "außen" hat, auf die Verzeichnisse und Dateien zuzugreifen, würde mich sehr interessieren!
Hat jemand zum Beispiel Möglichkeiten, sich meine Verzeichnisse auflisten zu lassen oder gar auf Dateien zuzugreifen?
Zunächst: Ich werde grundsätzlich von der Stock-ROM (also der Google-Version von Android) sprechen. Mir fehlt einfach das Wissen zu ROMs von den Samsung, HTC, LG usw.
Für Zugriffe über ein Netzwerk bedarf es zunächst entsprechenden Server-Diensten auf dem Smartphone. Die hat zumindest die Stock-ROM (noch) nicht (Ausnahmen später). Ich kenne aber von der MIUI-ROM, dass ein FTP-Server mitgeliefert wird. Er läuft bei dieser ROM nicht automatisch, sondern muss manuell gestartet werden. Ich habe ihn nie ausprobiert und kann daher nicht sagen, wieviel des Dateisystems im Zugriff wären.
Zudem gibt es entsprechende Server-Apps im Markets. Zum Beispiel ist mir ein SMB-Server für den Astro-Dateimanager in Erinnerung sowie eine DynDNS-App.
Wer sich soetwas installiert, dem drohen durchaus Zugriffe von außen, die er nicht wirklich wünscht oder die er nicht explizit durch eine Firewall oder Rechtevergabe unterbindet. Netfilter/iptables - eine unter Linux gebräuchliche lokale Firewall - ist bei Stock-Android dabei, aber soweit ich das erkenne, nicht aktiviert. Allerdings habe ich noch kein nmap auf mein Nexus S losgelassen (Warum eigentlich nicht???).
Nachtrag:
Ich habe ein iptables -L im Terminal Emulator gamcht: alles offen! Alle Chains auf Accept, keine Regeln aktiv!
Eine Gefahr nicht nur für Smartphones stellt Bluetooth dar. Wenn auch nur in einem räumlich sehr begrenzten Umfeld. Jedoch in Umgebungen mit vielen Menschen, sind 10 m oft ausreichend, um zum Beispiel das Telefonbuch auslesen zu können. Zum Glück akzeptiert kaum ein aktuelles Gerät solche Anfragen das erste mal ohne Bestätigung durch den Nutzer. Zudem ist es auch aus Gründen des Stromverbrauches ratsam, Bluetooth nur gezielt einzuschalten, was das Risiko nebenbei auch verringert. Aber man vergisst auch mal das Ausschalten.
Ich hatte von Ausnahmen bei den Server-Apps geschrieben: Die Telefon-App und die SMS/MMS-App nehmen auf externe Anforderung etwas entgegen. Ein Browser (oder auch eine App wie die Wikipedia- und Facebook-Apps) nehmen Daten auf eine Aktion des Benutzers entgegen. Hierüber ist es theoretisch denkbar, in Verbindung mit einer Sicherheitslücke, Schadsoftware einzuschleusen. Soetwas hat es tatsächlich schon gegeben und gilt für alle Computersysteme (Smartphones sind ja nichts anderes als Computer).
Dagegen hilft eigentlich nur, sich laufend zu informieren und die jeweiligen Tipps zu beachten. Leider müssen diesbezüglich die Hersteller und Provider beginnen, das Problem ernst zu nehmen und innerhalb von Stunden Patches bereitstellen. Bisher zeichnen sich diese jedoch eher durch Ignoranz aus. Und es zeigt auch eine Schwachstelle des offenen Konzeptes von Android auf.
Viel gravierender finde ich Risiken durch die Nutzung von öffentlichen WLANs. Der Betreiber kann den gesamten Netzwerkverkehr mitlesen. Selbst wenn dieser verschlüsselt ist, denn er hat ja den gleichen Schlüssel. Ebenso - je nach WLAN - auch alle anderen Nutzer im gleichen WLAN. Von offenen WLANs ohne Verschlüsselung ganz zu schweigen.
Wenn man dabei Passworte verwendet, sollte man zumindest eine SSL-Verbindung zur Gegenstelle haben.
Ebenso könnten auch hier Sicherheitslücken in Android unbefugte Zugriffe begünstigen.
Außerdem sehe ich Risiken durch achtlos liegengelassene Smartphone zum Beispiel am Arbeitsplatz.
Die Installation von Nicht-Market-Quellen (Unbekannte Herkunft) sollte man nur aktivieren, wenn man es braucht und anschließend sofort wieder deaktivieren. Macht natürlich die Nutzung des Androidpit-App-Centers unbequemer - zumindest ohne Root
Ebenso ist der USB-Debugging-Modus immer auszuschalten, wenn man ihn nicht mehr braucht. Dann hilft nämlich nicht einmal eine Sperre des Gerätes. Ein USB-Kabel und ein Notebook mit Android-SDK reicht aus, um Daten zu kopieren oder eine Schad-App zu installieren.
Gerootete Geräte bieten dem Nutzer, alles. Erhöhen damit aber auch das Risiko. Zumindest, wenn man zu freizügig den Apps bei der Abfrage, ob Rooterechte gewährt werden sollen einen Freifahrtschein durch Setzen des entsprechenden Hakens gibt.
Insgesamt sehe ich die Risiken bei Smartphones bei Apps, die schöne Funktionen bieten, im Hintergrund jedoch Daten nach Hause schicken und Eingaben mitloggen. Das kann man nur durch Hinterfragung der angeforderten Rechte bei der Installation begrenzen. Es bleibt aber ein Restrisiko. Sonst muss man auf jegliche App aus jedem Market und natürlich auch aus sonstigen Quellen verzichten.
Aber das war ja eigentlich nicht Deine Frage.
Ein Risiko wie von Windows "gewohnt", dass da nur durch eine Netzwerkverbindung böses passiert, ist systembedingt derzeit weitgehend ausgeschlossen. Jedenfalls kenne ich keinen entsprechenden Daemon, der auf Stock-Android läuft, von der Telefon-App und der SMS/MMS-App abgesehen.
Mathias Schreiter
Wie kann ich unter Android Verzeichnis- und Dateirechte vergeben (read only, hidden usw.)?
Das wird wohl ohne Rootrechte nicht funktionieren, oder? Was ist mit Ersteller/Besitzer? Kann der unter Android "seine" Dateirechte nicht ändern?
Die SD-Karte ist ohne Root FAT-formatiert. Mit Rechten ist da Essig! Auch mit ReadOnly.
Auf ext2/ext3/ext4-Dateisystemen kannst Du unix-konform Rechte vergeben. Dazu benötigst Du aber Root-Rechte auf Deinem Gerät.
Versteckte Dateien und Ordner müssen mit einem . im Namen beginnen.
— geändert am 25.11.2011, 00:58:02
Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her!
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.