1. Möchtest Du unser Team im Android OS-Bereich unterstützen? Details dazu findest du hier!
  2. Nimm jetzt an unserem Uhans - 3. ADVENT - Gewinnspiel teil - Alle Informationen findest Du hier!

Bösartiger Bot hätte auf tausenden Android-Smartphones installiert werden können

Dieses Thema im Forum "Sonstige Apps & Widgets" wurde erstellt von Chris0504, 10.03.2010.

  1. Chris0504, 10.03.2010 #1
    Chris0504

    Chris0504 Threadstarter Fortgeschrittenes Mitglied

    Beiträge:
    359
    Erhaltene Danke:
    43
    Registriert seit:
    04.12.2009
    Phone:
    HTC Desire
  2. Mort, 10.03.2010 #2
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Mich wundert eigentlich nur, dass sich jemand darüber wundert.
    Wenn ich einer Anwendung erlaube, Kontakte und Internet zu benutzen, kann sie das missbrauchen. Jede eMail-App könnte theoretisch das ganze Adressbuch an einen beliebigen Empfänger schicken, dazu braucht man weder großes Entwicklunsgeschick noch große Tarnung. Außerdem gab's ja auch schon Apps, die (mitunter wenig anonyme) Nutzungsdaten verschickt haben - z.B. Locale und Meridian.
    Die Frage ist nur, was man dagegen machen kann. Berechtigungen sind gut und schön, aber werden zu oft weggeklickt oder sind für sinnvolles notwendig - vor allem, wenn sie zu grob vergeben werden (warum mir zwangsläufig die Telefonnummer mitgegeben wird, wenn ich nur irgendwie auf ankommende Anrufe reagieren will, verstehe ich z.B. nicht ganz). Sicher, manches könnte man verfeinern, etwa Server- oder Port-Limits für den Internetzugriff. Aber dann kommt man auch schnell wieder an einen Punkt wie Vista mit dem UAC - wird's zu lästig, wird's abgeschaltet oder blind weggeklickt.
    Bliebe noch, vor der Bereitstellung den Datenverkehr zu scannen (was aber wenig hilft wenn die App z.B. erst nach mindestens 5 Tagen die ersten Schadroutinen ausführt) oder den Bytecode (ggf. decompiliert) zu prüfen. Das verzögert aber wieder wichtige Updates, bringt einen Hauch von Big Brother (siehe Appstore-Willkür) und ist ab einer gewissen Appflut gar nicht sinnvoll machbar. Ich kann mir nicht vorstellen, dass Apple wirklich jede Zeile jeder App checkt bevor sie eine App zulassen. Schon gar nicht bei Updates von "bewährten" Anwendungen.
     
  3. kleinerkathe, 10.03.2010 #3
    kleinerkathe

    kleinerkathe Android-Lexikon

    Beiträge:
    1,365
    Erhaltene Danke:
    219
    Registriert seit:
    23.01.2010
    Klingt ja geradezu reißerisch der Titel ;)
    Aber hey, wer sich jede x-beliebige App installiert, die trotz Hinweis auf den Zugriff auf "Kostenpflichtige Dienste" "Telefonbuch" usw. auf dem Handy landet ist ja wohl selber schuld ...

    Ich hab bspw. ein Spiel, dass Zugriff auf "SMS versenden" möchte garnicht erst installiert, da es mir ja sogar extra angezeigt wird ...
     
  4. Mort, 10.03.2010 #4
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Du würdest also auch nie Comp/Handcent SMS oder K-9 installieren? Oder irgendeinen der vielen Medienplayer, die Anrufe für die automatische Pause mitbekommen und Internetzugang für Cover/Lyricsdownload nutzen?
     
  5. kleinerkathe, 10.03.2010 #5
    kleinerkathe

    kleinerkathe Android-Lexikon

    Beiträge:
    1,365
    Erhaltene Danke:
    219
    Registriert seit:
    23.01.2010
    Dämmliche Frage ;)
    Warum sollte ein Weatherwidget Zugriff auf bspw. "Systemeinstellungen" "SMS" "Adressbuch" usw. benötigen ... (ausser es ist nicht ordentlich programmiert)
    Wenn man etwas nachdenkt, sollte man darauf kommen, dass schlimmstenfalls da etwas nicht stimmen kann ;)
    Wenn eine SMS-Applikation auf SMS Zugriff haben muss (logisch), dann ist das verständlicher, als irgendein Widget ...
     
  6. Mort, 10.03.2010 #6
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Von Adressbuch usw. ist im Artikel auch überhaupt nicht die Rede. Die App verwendet bisher nur GPS-Position, Zugriff auf die SD (macht z.B. Beautiful Widget auch - für die Skins) und Internetzugriff. Ich persönlich fände eine SMS-App, die ganz unverdächtige Berechtigungen missbraucht, deutlich unangenehmer.
     
  7. Chris0504, 10.03.2010 #7
    Chris0504

    Chris0504 Threadstarter Fortgeschrittenes Mitglied

    Beiträge:
    359
    Erhaltene Danke:
    43
    Registriert seit:
    04.12.2009
    Phone:
    HTC Desire
    Ich denke auch, dass die Berechtigungen immer übersehen bzw. weggeklickt werden. Ich glaube viele Android-User sind der ständigen Gefahr von einem Bot bzw. Virus angegriffen zu werden nicht bewusst. Mal ganz ehrlich: Ich bin mir auch nicht bewusst, dass ich mit jedem App das ich auf mein Handy ziehe, die Gefahr habe, mir einen Bot bzw. Virus einzuhandeln. Deshalb finde ich das auch mal ganz gut, dass jemand zeigt, wie einfach es eigentlich geht, ein Programm mit einem Bot auf tausende Smartphones zu laden.

    Liebe Grüße

    Christian
     
  8. McFlow, 10.03.2010 #8
    McFlow

    McFlow Android-Lexikon

    Beiträge:
    1,192
    Erhaltene Danke:
    358
    Registriert seit:
    30.09.2009
    Phone:
    LG G3
    Tablet:
    Nexus 7 (2013)
    Naja, was ist an der Meldung jetzt so besonders?
    Jedes System ist anfällig für irgendetwas. Egal ob Windows, Linux, Mac OS oder eben Android.
    Ich schaue mir vorher die Kommentare und Berichte dazu im Internet an, bevor ich mir eine App installiere. Aber die Berechtigungen lesen nicht viele denke ich.

    Es ist auf jedem System das gleiche. Man muss halt aufpassen was man interessiert.
    Da Smartphones immer leistungstärker werden, rücken die wahrscheinlich jetzt auch immer mehr ins Visier. Ein Botnetz aus Smartphones.....
     
  9. Melkor, 10.03.2010 #9
    Melkor

    Melkor Super-Moderator Team-Mitglied

    Beiträge:
    17,620
    Erhaltene Danke:
    3,911
    Registriert seit:
    24.06.2009
    Phone:
    Ulefone Power + Wiko Darknight
    Tablet:
    Archos G9 Tablet, Odys Wintab 9 plus 3G
    Wearable:
    Xiaomi MiBand
    @McFlow
    Weil mal wieder gezeigt wird, dass es nicht an Windows liegt, sondern jedes weitverbreitete System Schwachstellen hat, sei es OpenSource oder ClosedSource.

    Zudem weiterhin dargestellt wird, dass das größte Sicherheitsrisiko unbedarfte User sind, die sich einerseits über Google, StreetView und Facebook aufregen, andererseits jeder billig-App Zugang zu ihren persönlichsten Daten gewähren...

    Ich hoffe Google lernt und gibt den Anbietern bald eine Möglichkeit beim Installieren anzuzeigen, weshalb man Zugang zu diesen Bereichen braucht.

    Melkor
     
  10. gokpog, 10.03.2010 #10
    gokpog

    gokpog Android-Ikone

    Beiträge:
    5,955
    Erhaltene Danke:
    1,386
    Registriert seit:
    12.11.2009
    Ich achte eigentlich immer darauf, ob die Apps SMS- oder Telefonrechte haben, die sie nicht haben sollten. So kann man zumindest finanziell nicht so einfach zu Schaden kommen. Ich würde aber beim Installieren eine Warnung begrüßen, die davor warnt, wenn ein Programm die Rechte zum Anrufe ausführen und Textnachrichten abschicken haben will. Beim aktivieren von Fremdtastaturen wird man ja schon gewarnt, dass diese theoretisch in der Lage sind, deine Tastenanschläge auszulesen.
     
  11. Mort, 10.03.2010 #11
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Das bringt im schlimmsten Fall aber auch nur falsche Entwarnung. Die Wetter-App hatte auch gute Gründe für GPS (Ortsbestimmung für lokales Wetter) und Internetzugang (Wetter-Server). Eine SMS- oder eMail-App hat gute Gründe für das Auslesen von Kontaktdaten (Handynummern bzw. Mailadressen). Und Internetzugang kann sogar das blödeste Schiebepuzzle mit AdSense-Werbung begründen.
    Ich glaube aber nicht, dass Trojaner-Entwickler so blöd sind, dass sie für ein Schiebepuzzle auch das Auslesen von Kontakten und SMS erlauben lassen wollen - das fällt natürlich auf.
     
  12. Denowa, 11.03.2010 #12
    Denowa

    Denowa Android-Guru

    Beiträge:
    2,872
    Erhaltene Danke:
    565
    Registriert seit:
    21.08.2009
    Phone:
    OnePlus One, OnePlus Two, ZTE Axon 7
    Wearable:
    Pebble
    Installiert euch mal das kostenlose App aSpotCat, damit könnt ihr euch genau Anzeigen lassen welche App welche Rechte beansprucht. Ihr werdet staunen ...

    Edit: Bitte den Button "Details" nicht übersehen!
     
    trk bedankt sich.
  13. trk

    trk Android-Lexikon

    Beiträge:
    1,151
    Erhaltene Danke:
    132
    Registriert seit:
    19.08.2009
    ich habe auch erst vor kurzem damit angefangen, gelle Mort und Swordi ? *grins*

    Das Problem bei den Berechtigungen ist imho das gleiche wie bei dem lesen der AGBs wenn man ein Online Spiel installiert: jeder ist nur daran interessiert die App/das Game zu sehen und nimmt sich keine Zeit die Berechtigungen / die AGB zu lesen und dann zu entscheiden ob man die App / das Game überhaupt noch testen will...

    und installiert !

    edith sagt: Kaloer Clock deinstalliert, da die App meine SMS/MMS lesen kann.
     
    Zuletzt bearbeitet: 12.03.2010
  14. Mort, 12.03.2010 #14
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Naja, ein bisschen hinkt der Vergleich - die Berechtigungen sind normalerweise doch deutlich weniger und verständlicherer Text... Außerdem sind bei den AGB die richtig bösen Hämmer ohnehin gesetzlich nich erlaubt.

    Ich denke, das wirkliche Problem ist eher, dass man ohne Quelltextanalyse nicht weiß, wofür die Berechtigungen benötigt werden. Wie schon gesagt: 'ne Mail-App bekommt selbstverständlich die Rechte für Kontakte und Internet - aber damit könnte sie auch heimlich das Adressbuch versenden. Anrufsignalisierung und Internet bei Medienplayern hab ich ja auch schon erwähnt (wobei der MortPlayer bisher ja ohne Internet auskommt).
    Wirklich sicher wäre man nur, wenn man jeden Internet-Zugriff mit allen Daten abnicken lassen würde - aber dann wäre man auf einem modernen Smartphone nur noch mit Kontrolle und Bestätigen beschäftigt.

    Interessant aber auch, dass die Diskussion scheinbar erst mit den Smartphones so richtig aufkommt. Auf dem PC ist es auch keine Hexerei, mit irgendeinem Freeware-Trojaner die Outlook-Daten auszulesen und zu verschicken. Und da wird noch nicht mal nach Berechtigungen gefragt.
     
  15. Bear Knuckle, 12.03.2010 #15
    Bear Knuckle

    Bear Knuckle Android-Hilfe.de Mitglied

    Beiträge:
    137
    Erhaltene Danke:
    3
    Registriert seit:
    01.07.2009
    § 307 BGB gilt aber für Software-EULAs erstmal nicht, solange sie nicht öffentlich aushängen.

    Das denke ich auch. Ich hab neulich wieder etwas erlebt, das werd ich nie vergessen.
    Vielleicht kenne manche die Steam-Plattform von Valve. Für die, die es nicht kennen, es ist ne Spieleplattform, die bei vielen arg in der Kritik steht, da man gekaufte Spiele darauf aktivieren muss, was unter anderem dazu führt, dass man sie nicht wieder verkaufen kann, da sie accountgebunden sind oder man ohne den Account, der theoretisch gesperrt werden könnte, nicht mehr spielen kann, usw.

    Jedenfalls hat sich in einem Forum ein Kritiker darüber ereifert und gleichzeitig wutentbrannt erzählt, dass sein Account auch gehackt wurde und das das System völlig unsicher sei und das es eine riesige Sicherheitslücke gäbe und man die Accounts ganz einfach hacken könne und das das alles eine riesen Schweinerei sei und es dem Hersteller, dem er schon viele Mails geschrieben habe, völlig egal sei.

    Auf Nachfrage hat er mir dann ein Video der Sicherheitslücke gezeigt, in dem gezeigt wird, wie einfach man doch das System hacken könne:

    YouTube - ! NEW ! Steam Account Hacker (IN NUR 2 MINUTEN!) + Downloadlink

    Danach war mir auch klar, wie sein Account gehackt wurde. :D

    Viele unterschätzen einfach die Verantwortung, die sie haben. Wer am Netz der Netze teilnimmt ist meiner Meinung nach auch dafür verantwortlich, sein System zu schützen. Natürlich mangelt es den meisten an Fachkenntnis und dem Verständnis dafür, was man ihnen dann auch nicht vorwerfen kann. Man sollte kein IT-Experte sein müssen, um sein System sicher halten zu können. Es ist wahrlich ein Dilemma!

    Und wer sagt uns eigentlich, was die von uns so geschätzten ROMs mit unseren Smartphones anstellen?

    PS: Ich würde diesen "Bot" eher als Spyware bezeichnen. Ein Bot ist was anderes. :)
     
    Zuletzt bearbeitet: 12.03.2010
    superSonic bedankt sich.
  16. Comguard, 12.03.2010 #16
    Comguard

    Comguard Android-Experte

    Beiträge:
    816
    Erhaltene Danke:
    40
    Registriert seit:
    14.02.2010
    Das Video kapier ich nicht...

    Die hacken doch keine Accounts sondern senden dem Typen nur ihre Accountdaten mit Passwort zu?
     
  17. Bear Knuckle, 12.03.2010 #17
    Bear Knuckle

    Bear Knuckle Android-Hilfe.de Mitglied

    Beiträge:
    137
    Erhaltene Danke:
    3
    Registriert seit:
    01.07.2009
    Das ist richtig, deshalb steht in den Kommentaren auch:

    "The passwords don't work."

    Und zwei Tage später kotzen sich diesselben Leute in irgendeinem Forum aus, ihr Account sei gehackt worden und was Steam doch für eine Schweinerei sei und wie unsicher das doch alles sei und posten dann zum Beweis solche Videos. ;-)
     
    Zuletzt bearbeitet: 12.03.2010
  18. Denowa, 12.03.2010 #18
    Denowa

    Denowa Android-Guru

    Beiträge:
    2,872
    Erhaltene Danke:
    565
    Registriert seit:
    21.08.2009
    Phone:
    OnePlus One, OnePlus Two, ZTE Axon 7
    Wearable:
    Pebble
    Dummheit müsste weh tun ... aber dann würde man vor lauter Schmerzensschreien sein eigenes Wort nicht mehr verstehen.
     
  19. Mort, 12.03.2010 #19
    Mort

    Mort Android-Lexikon

    Beiträge:
    960
    Erhaltene Danke:
    262
    Registriert seit:
    16.11.2009
    Wenn man denn vor lauter Schreien noch Worte formulieren könnte.
    Zum Glück oder leider (je nach dem...) erkennt man seine eigene Dummheit aber meist erst viel später. Oder überhaupt nicht.
    (*räusper* Aber nun wieder BTT...)
     
  20. superSonic, 15.03.2010 #20
    superSonic

    superSonic Junior Mitglied

    Beiträge:
    26
    Erhaltene Danke:
    1
    Registriert seit:
    27.06.2009
    @steam-account-hacking: Einfach nur großartig! *sich kugelt*
     

Diese Seite empfehlen