DE
Service Hotline
Jede Android App verlangt gewisse Zugriffsrechte, mit deren Hilfe sich diverse Informationen auslesen lassen. Der Sicherheitsexperte Paul Brodeur hat nun geprüft, auf welche Daten eine App ohne Berechtigungen zugreifen kann.
Wie der Name sagt, besitzt die App „No Permissions“ keinerlei Zugriffsrechte für das Smartphone, auf dem sie installiert wurde. Nichtsdestotrotz ist die Proof-of-Concept-Anwendung laut ihrem Entwickler Paul Brodeur dazu in der Lage, gewisse Daten auszulesen.
Der erste Bereich, auf den die App zugreifen könne, sei die externe SD-Karte: „No Permissions“ scanne das /sdcard-Verzeichnis und liefere eine Liste aller sichtbaren Dateien. „Auf meinem eigenen Gerät habe ich festgestellt, dass OpenVPN-Zertifikate“ auf der SD-Karte gespeichert waren“, schreibt Brodeur in seinem Blog-Eintrag bei der Leviathan Security Group.
Die App kann darüber hinaus mithilfe der Anwendungsliste /data/system/packages.list feststellen, welche Apps auf dem Gerät installiert sind. Basierend auf dieser Liste lassen sich laut Brodeur die App-Ordner auf lesbare, sensible Daten untersuchen. Ein potenzieller Angreifer könne anhand der ausgelesenen Dateien unsicher entwickelte Apps identifizieren.
Daten über Android-Version und Smartphone
Darüber hinaus ist „No Permissions“ dazu in der Lage, einige Informationen über das Gerät selbst abzurufen. Zwar sei es ohne die Berechtigung PHONE_STATE nicht möglich, Seriennummer (International Mobile Equipment Identity, IMEI) oder Teilnehmerkennung (International Mobile Subscriber Identity, IMSI) auszulesen – jedoch lässt sich der Mobilfunk-Betreiber anhand von SIM- und GSM-Identifikationsnummer bestimmen.
Eine weitere Möglichkeit, das Android-Gerät dauerhaft zu identifizieren, ist die sogenannte ANDROID_ID, die „No Permissions“ ebenfalls auslesen kann. Diese 64-Bit-Nummer wird beim ersten Bootvorgang des Mobilgeräts dauerhaft erstellt und ändert sich erst nach einem Factory Reset. Rückschlüsse auf die Kernel-Version und die installierte Custom ROM lässt derweil das auslesbare Pseudofile/proc/version zu.
Als Proof-of-Concept soll „No Permissions“ zeigen, zu welchen Rückschlüssen jede beliebige Android App auch ohne gewisse Berechtigungen möglich ist. Interessant ist vor diesem Hintergrund auch, dass eine entsprechend programmierte Anwendung auch ohne Internet-Zugriff durchaus dazu in der Lage ist, die Informationen weiterzuleiten: Über die Funktion URI ACTION_VIEW lässt sich der Browser öffnen und mithilfe des GET-Parameters dazu bringen, die Daten zu übermitteln.
Auf dem Android-Gerät des Autoren ließ sich die Möglichkeit der Datenübermittlung verifizieren, nicht aber die eigentlichen Auslese-Versuche, die „No Permissions“ mithilfe dreier Buttons simulieren soll. SearchSecurity.de hat aber bereits beim Entwickler angefragt, ob dies auf die Hersteller-eigenen Ordnerstruktur des Geräteherstellers oder die eingesetzte ROM (Gingerbread 2.3.6) zurückzuführen ist. Paul Brodeur hat seinen Code nach eigenen Angaben erfolgreich gegen Android 4.0.3 und 2.3.5 getestet.
Quelle: https://www.searchsecurity.de/themenbereiche/plattformsicherheit/mobilesecurity/articles/360565
