Sicherheit
Noch mehr Sicherheitsmängel bei Android
von
Thorsten
Eggeling - 20.03.2012
Android-Apps können auf mehr persönliche Daten zugreifen, als dem Benutzer recht sein kann. Ein Sicherheitsexperte fand jetzt heraus, dass Apps uneingeschränkt alle Daten von der Speicherkarte eines Smartphones lesen können.
Offenbar ist das Sicherheitsrisiko durch eine Anfang März 2012 entdeckte Lücke im Android-Sicherheitssystem deutlich höher als bisher angenommen. Ursprünglich gingen die Sicherheitsexperten davon aus, dass Apps nur auf die gespeicherten Fotos uneingeschränkt zugreifen können. Inzwischen stellt sich aber heraus, dass alle Daten aus dem USB-Speicher ohne Zustimmung des Besitzers ausgelesen werden können. Diese Erkenntnis ist dem Sicherheitsexperten Jan Schejbal zu verdanken, der auch Mitglied der Piratenpartei ist.
Er hat herausgefunden, dass Apps nicht nur auf Fotos, sondern auf alle Daten zugreifen können, die im USB-Speicher unter /sdcard abgelegt sind. Das Gleiche gilt wahrscheinlich auch für eine externe SD-Karte, die - wen vorhanden - über /sdcard/external_sd zu erreichen ist. Was unter diesem Pfad gespeichert ist, hängt vom Verhalten des Benutzers ab. Hier können Bilder von der eingebauten Kamera oder heruntergeladenen Dateien liegen. Wer eine Software wie Titanium Backup verwendete, bei dem sind hier auch Sicherungskopien der Daten aller installierten Apps zu finden. Eine böswillige App könnte diese Daten auslesen und über das Internet übertragen. Lediglich beim Schreibzugriff auf den USB-Speicher erfolgt eine Sicherheitsabfrage. Für den Lesezugriff ist diese nicht erforderlich.
Google hat angekündigt, die Sicherheitslücke mit einem Update zu schließen. Bis wann das geschehen soll, ist aber nicht bekannt. Außerdem werden wahrscheinlich nur Besitzer neuerer Geräte in den Genuss dieses Updates kommen.
Die Android-Löschfunktion ist nicht sicherWer sein Smartphone verkaufen möchte, sollte vorher alle Daten auf dem Gerät löschen, damit diese nicht in die falschen Hände geraten. Dabei kommt in der Regel die Funktion „Auf Werkszustand zurücksetzen“ zum Einsatz. Jan Schejbal ist bei seinen Untersuchungen auch hier auf ein Problem gestoßen. Nachdem er den Speicher seines Smartphones über die dafür vorgesehene Funktion gelöscht hatte, fand er bei der Analyse des Speicherinhalts immer noch jede Menge persönliche Daten. Wenn man ein Abbild des Speichers auf einen PC überträgt, lassen sich beispielsweise Fotos aber unter Umständen auch Benutzernamen und Passwörter rekonstruieren.
Welche Smartphones und Android-Versionen von dem Problem betroffen sind, ist bisher nicht bekannt. Eine einfache Lösung, mit der sich alle Daten sicher löschen lassen, gibt es bisher ebenfalls nicht. Wer sichergehen möchte, dass seine persönliche Daten nicht von anderen Personen gelesen werden können, sollte daher von Verkauf seines Smartphones vorerst absehen.
