Android: CM Security Update Schwachstelle

1. VorgeschichteCM-Security

Vor gut 7 Wochen trieb mich meine Neugierde in den Google Play Store. Mit einem Klick auf »Top Artikel für 0 €« wollte ich mir mal wieder einen Überblick über die beliebtesten Apps verschaffen. WhatsApp auf Platz 1. Abgehakt. Facebook auf Platz 4. Selbstverständlich. CM Security Antivirus Applock [App wurde mittlerweile aus dem Play Store entfernt] auf Platz 5. Wait! What? Ein Virenscanner auf Platz 5 der beliebtesten kostenlosen Apps? Vor dem Hintergrund, dass Antiviren-Scanner auf einem Android-Gerät nahezu nutzlos sind, hat mich der hohe Verbreitungsgrad der App fasziniert. Nicht weniger als 100.000.000 bis 500.000.000 Installationen hat die App laut den Angaben des Play Stores zu verzeichnen.

Da ich zu diesem Zeitpunkt gerade meine Android Pentest-Umgebung für Apps erweitert hatte, wollte ich mich selbst von den markigen Werbeversprechen von Cheetah Mobile (CM) überzeugen. Immerhin hat die App laut Angaben der Entwickler zum »siebten Mal den Oscar der Virenscanner Welt« gewonnen. Das unabhängige AV-TEST Institut verleiht diese Auszeichnung und bewertet unter anderem die Schutzwirkung und Benutzerfreundlichkeit der Antivirus-Apps für Android.

Die App scheint also ein absoluter Gewinner zu sein. Sie schützt vor »Viren«, hat eine integrierte Anti-Theft Funktion und kann mit dem System-Reiniger sogar das Smartphone beschleunigen. Wer dann noch die Bewertungen konsultiert, der muss unweigerlich den Eindruck bekommen, hier das absolute »Rundum-Sorglos-Security-Paket« für Android gefunden zu haben. Die Realität sieht leider nicht ganz so rosig aus…

2. CM Security Antivirus Applock

CM Security erfreut sich Dank der positiven Medienpräsenz und Öffentlichkeitsarbeit einer großen Beliebtheit. Nach einer kurzen Recherche im Internet bescheinigen unter anderem AV-TEST [September 2015], AndroidPIT, CHIP und netzwelt [Quelle entfernt] der App, den Anwender vor »schädlicher Software zu schützen und das  Handy auch in Zukunft vor potenzieller Malware zu bewachen«. Und das waren lediglich Quellen aus Deutschland – weltweit wird die App empfohlen. Das Dilemma bei solchen Tests ist allerdings fast immer das Gleiche: Es wird zumeist lediglich die Funktionsweise überprüft und die Benutzerfreundlichkeit bewertet. Andere wichtige Faktoren, wie bspw. ob sich eine App in irgendeiner Weise negativ auf die Sicherheit der Android-Umgebung auswirkt oder wie es um den Datenschutz steht, werden dabei kaum bis gar nicht berücksichtigt. Dieser Mehraufwand lässt sich sicherlich nicht für jeden App-Test leisten. Doch gerade Apps, die mehr Sicherheit versprechen, sich unzählige Berechtigungen und damit Zugriffsmöglichkeiten auf Informationen einräumen, sollten und dürfen nicht auf ihre Funktionsweise und Benutzerfreundlichkeit reduziert werden.

Der Funktionsumfang von CM Security Antivirus Applock ist »beeindruckend«. Dieser wurde bereits vielfach von diversen IT-Seiten begutachtet und ins beste Licht gerückt. Doch in meiner Funktion als Pentester beschäftigen mich ganz andere Fragen wie bspw.:

  • Wie ausgeprägt ist die Sensibilität der Entwickler und Verantwortlichen gegenüber einer sicheren und auf den Zweck beschränkten Verarbeitung meiner Daten bzw. Informationen?
  • Wie hoch ist die Umsetzungsbereitschaft einer sicheren Programmierung bzw. wird diese bereits während der Entwicklung berücksichtigt?
  • Sofern die Bereitschaft für eine »sichere« Entwicklung vorhanden ist, schaffen es die Entwickler diese dann auch umzusetzen?
  • Wie reagieren die Verantwortlichen auf das Bekanntwerden einer Sicherheitslücke?
  • Wie schnell werden Schwachstellen geschlossen?
  • [ … ]

Kurzum: Ich möchte wissen, wie die Datenverarbeitung erfolgt, ob die Daten verschlüsselt gespeichert werden bzw. die Verschlüsselung überhaupt korrekt implementiert wurde. Ebenso muss geprüft werden, ob die Abfrage neuer Informationen über einen verschlüsselten Kanal erfolgt oder praktisch von jedem im Klartext einsehbar und damit manipulierbar ist.

2.1 Hinweis

Der vorliegende Beitrag demonstriert eine Schwachstelle im Update-Prozess der App. Nach der Identifikation und Verifikation dieser Schwachstelle habe ich mit den Entwicklern von CM Security Kontakt aufgenommen. Üblicherweise werden solche Schwachstellen erst dann veröffentlicht, nachdem eine Frist verstrichen ist. Innerhalb dieser Frist hat der Hersteller Zeit, die Lücke selbst zu verifizieren und gegebenenfalls über einen Patch zu korrigieren. Mit dem 15. November ist diese Frist abgelaufen.

Bis heute hat der Hersteller auf meine Benachrichtigung weder reagiert, noch eine Verbesserung / Patch an der App vorgenommen [Stand 16. November 2015].

Weiterhin möchte ich noch folgende Punkte anführen:

  • Es handelt sich bei meiner Prüfung lediglich um eine Stichprobe
  • Ich habe ausschließlich die Update-Funktion einer kurzen Prüfung unterzogen
  • Es ist daher nicht auszuschließen, dass die App noch über weitere Schwachstellen verfügt
  • Die Schwachstelle war relativ einfach, mit frei verfügbaren Mitteln / Tools zu identifizieren
  • Von der Identifikation bis zum Ausnutzen der Schwachstelle habe ich knapp zwei Stunden benötigt
  • Mit diesem Beitrag möchte ich niemanden zur Nachahmung anregen oder dazu aufrufen, die Schwachstelle aktiv auszunutzen
  • Die Schwachstelle habe ich in Version 2.7.3 [Oktober 2015] von CM Security entdeckt bzw. ausgenutzt

3. IT-Sicherheit und Datenschutz

Sicherheitssoftware soll den Anwender im besten Fall vor potenziellen Bedrohungen beschützen. Doch wenn die Software selbst grundlegende Sicherheitsvorkehrungen missachtet und eklatante Schwächen in der Implementierung aufweist, wird sie selbst zum Risiko und damit zur Gefahr für den Anwender.

Die Überprüfung auf Schwachstellen und Datenschutzprobleme bei CM Security ist unvollständig. Wie bereits erwähnt habe ich lediglich die Update-Funktion einer kurzen Prüfung unterzogen und die externe Kommunikation der App über einen Zeitraum von ca. 30 Minuten aufgezeichnet und ausgewertet.

Damit habe ich mich nur auf einen Angriffsvektor konzentriert und bin nicht, wie bei meinen sonstigen Aufträgen systematisch vorgegangen, um client- und serverseitige Schwachstellen aufzudecken. Der Vollständigkeit halber will ich nachfolgend kurz beschreiben, was ich sonst alles noch prüfen würde:

  • Clientseitige Angriffe: Dieser Bereich umfasst »lokale« Schwachstellen, wie bspw. die unsichere Speicherung sensibler Informationen, im Quellcode auffindbare Passwörter, Manipulation von Activities, Broadcast-Receivern, etc.
  • Serverseitige Angriffe: Zu den bekannten Schwachstellen auf der Serverseite zählen bspw. XSS, SQL-Injections, die Umgehung der Autorisierung oder Authentifikation, etc.

3.1 Externe Verbindungen

Ich habe bereits bei vielen Apps die externe Datenkommunikation mitgeschnitten und ausgewertet. Daher überrascht mich mittlerweile nur noch sehr wenig. Vom ungefragten Übertragen des Adressbuchs, bis hin zum Auslesen der SMS-Inhalte oder USB-Speichers ist alles dabei. Die Ursache dieses Problems ist nach wie vor das kaputte Android-Berechtigungsmodell, sowie die Dreistigkeit der App-Entwickler, die sich schamlos an den übermittelten Daten bereichern. Ein weiteres Problem ist die intransparente Datenübermittlung – der Anwender bekommt schon gar nicht mehr mit welche Daten, wann, an wen und zu welchem Zweck übermittelt werden.

Aber nun zurück zu CM Security. Nach dem ersten Start werden folgende Netzwerkverbindungen initiiert:

  • ksmobile.com: Umleitung zu www.cmcm.com bzw. Cheetah Mobile
  • facebook.com: Das »soziale« Netzwerk
  • adkmob.com: Mobiles Werbenetzwerk
  • appsflyer.com: Mobile App Tracking & Attribution Analytics

In der Datenschutzerklärung [nicht mehr erreichbar] unter »Sharing Of Your Information« finde ich weder zu Facebook, dem mobilen Werbenetzwerk, noch zum App Tracker irgendwelche Hinweise. Es wird lediglich angeführt, dass die gesammelten personenbezogenen Daten weder verkauft, getauscht oder Dritten zur Verfügung gestellt werden. Allerdings mit der Ausnahme, nicht personenbezogene Daten womöglich Dritten zukommen zu lassen, falls dies für die Aufrechterhaltung der Webseite, dem Geschäftsbetrieb oder der Verbesserung des Services dient.

Bei der Kontaktaufnahme mit adkmob.com werden folgende Informationen unverschlüsselt (Port 80) übertragen:

  • Geräte ID
  • Modelltyp
  • Display Auflösung und RAM-Größe

Auch AppsFyler ist kein unbekannter Service und wird nach meiner Erfahrung von den vielen Apps im Google Play Store genutzt. Protokolliert und gesammelt (Port 80) werden unter anderem:

  • Installationsdatum einer App
  • Mobilfunkbetreiber
  • WiFi-Netzwerke
  • Sprache und Währung
  • Geräte ID
  • Modelltyp

Auf den ersten Blick sind das zunächst keine personenbezogenen Daten. Oder etwa doch? Viele vergessen bei der Übermittlung dieser Daten, dass auch immer eine Verbindung zum Server aufgebaut werden muss. Hierbei wird unweigerlich die IP-Adresse übertragen. Man kann sich darüber streiten, aber eine IP-Adresse ist im Grunde genommen eine personenbezogene Information. Von diesem Standpunkt aus betrachtet, ist die Datenschutzerklärung unvollständig und dazu nicht in deutscher Sprache verfügbar. Ferner lässt sich allein aus der Geräte ID, dem Mobilfunkbetreiber und der verbundenen WiFi-Netzwerk relativ eindeutig ableiten, wer hinter dem Gerät steckt.

3.2 Update Prozess

Antivirus-Scanner leben von der Aktualität ihrer Viren- bzw. Schadsoftware Signaturen. Auf die Funktionsweise einer Antivirus-App auf mobilen Endgeräten bzw. Android möchte ich an dieser Stelle allerdings nicht näher eingehen. In einem älteren Artikel hatte ich bereits dargestellt, weshalb eine Antivirus-App nur einen sehr begrenzten Nutzen hat und vielen Anwendern ein trügerisches Sicherheitsgefühl vermittelt.

Über das Optionsmenü lässt sich innerhalb von CM Security ein Update der Virensignaturen anstoßen. Was sich im Hintergrund ereignet bekommt man nicht mit. Oberflächlich läuft der Update-Prozess nach einem einfachen Muster ab:

Antivirus Update

Update erfolgreich

Neue Signaturen können manuell über »UPDATE« eingespielt werden. Nach einem erfolgreichen Update erscheint eine weitere Meldung als Bestätigung. Doch was würde nun passieren, wenn jemand diesen Update-Prozess kontrollieren kann? Mit Kontrollieren meine ich, die Signaturen des Virenscanners beliebig verändern oder löschen zu können, ohne das die App diese Manipulation bemerkt. Genau dies ist bei CM Security möglich, denn bei der Implementierung der Update-Funktion haben die Entwickler sicherheitsrelevante Aspekte scheinbar nicht ausreichend berücksichtigt:

  • Die Verbindung zum Update Server wird über eine unverschlüsselte Verbindung initiiert
  • Die eingebauten Prüfmechanismen (md5-Hashes) stellen lediglich die Datenintegrität des Updates sicher, schützen aber in keinster Weise vor einer Manipulation der Signaturen
  • Weder auf Client-, noch auf Serverseite wurden irgendwelche Schutzmaßnahmen ergriffen, um solche Manipulationen zu erschweren

Ein Angreifer kann einem CM Security Nutzer demnach beliebige Signaturen unterschieben. Welche Auswirkungen unvollständige oder fehlerhafte Signaturen für Systeme haben, demonstrieren vergangene Pannen:

Anders als bei diesen Beispielen wiegt das Versäumnis von den Cheetah Mobile allerdings schwerwiegender. Ein Virenscanner, bei dem sich die Signaturen von Dritten beliebig manipulieren bzw. austauschen lassen, kann im Grunde genommen -ein wenig überspitzt formuliert- selber als Schadsoftware bzw. Malware betrachtet werden. Dieses insbesondere deshalb, weil eine solche Software den Anwender nur unnötig gefährdet und der Nutzen zu den potenziellen Risiken nicht im Verhältnis stehen.

4. Die Schwachstelle im Detail

Die Manipulation des Update-Vorgangs ist im Grunde genommen trivial. Das Versäumnis der Entwickler entsprechende Sicherheit zu implementieren, lässt sich meiner Erfahrung nach u.a. auf folgende Ursachen zurückführen:

  • Die Sicherheit der Software wurde weder in der Entwurfsphase, noch im eigentlichen Entwicklungsprozess ausreichend berücksichtigt
  • Secure Coding Guidelines scheinen nicht zu existieren
  • Ferner versagt oftmals die Qualitätssicherung oder es findet erst gar keine statt

4.1 Update Vorgang

Zum besseren Verständnis werde ich zunächst den eigentlichen Update Vorgang darstellen, der aus drei Schritten besteht:

[1] Im ersten Schritt wird eine INI-Datei »version_data.ini« (dl.sj.ijinshan.com/duba/updateintl/version_data.ini) heruntergeladen. Diese beinhaltet unter anderem Informationen zu den Signatur-Updates und einen Pfad zu einer weiteren INI-Datei »info_data.ini« (bccba097160e3e666cfcec5aa4264024.ini.zip), die an dieser Stelle allerdings noch im gezippten Format und unter einem kryptischen Namen vorliegt. Bemerkenswert ist hierbei, dass der Kontakt zur Gegenstelle »dl.sj.ijinshan.com« über eine unverschlüsselte HTTP-Verbindung (Port 80) erfolgt.
[version_data.ini]version_data.ini
[2] Auf dem Client findet nach dem Download der »version_data.ini« ein Informationsabgleich statt. Sofern neue Signaturen verfügbar sind wird im nächsten Schritt eine Zip-Datei (bccba097160e3e666cfcec5aa4264024.ini.zip) geladen. Nach dem Download wird die Datenintegrität dieser Zip-Datei über einen md5-Hashwert (md5=bccba097160e3e666cfcec5aa4264024) verifiziert und anschließend die darin enthaltene »info_data.ini« entpackt. Diese INI-Datei enthält Pfadangaben zu den jeweiligen Signatur-Datenbanken (im Beispiel callmark.db.zip), deren Integrität wiederum über md5-Hashwerte sichergestellt wird.
[info_data.ini]info_data.ini
[3] Im finalen Schritt erfolgt der Download der einzelnen Signatur-Datenbanken (im Beispiel callmark.db.zip). Nach der Verifikation des md5-Hashwerts der heruntergeladenen Zip-Datei (md5=3e43052ff2fbe6946ab853be5583af0d) wird der Inhalt »callmark.db« entpackt und erneut ein Abgleich des md5-Hashwerts (md5_target=7308a74d9598cd96827809b074525a0a) vorgenommen. Stimmen die Hashwerte überein werden die lokalen Signatur-Datenbanken durch die heruntergeladenen ersetzt.
[md5-Hashwerte]md5-Hash

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

4.2 Die Angriffsmöglichkeit

Der komplette Update Vorgang verläuft über eine unverschlüsselte HTTP-Verbindung (Port 80). Ein Angreifer kann bspw. in einem öffentlichen WLAN die Anfrage an den CM Update-Server ohne Schwierigkeiten auf einen Server seiner Wahl umleiten, wo er die manipulierten Signatur-Datenbanken abgelegt hat. Entscheidend sind lediglich die Informationen in der version_data.ini und info_data.ini. Diese beinhalten alle notwendigen Details, um der App letztendlich die gefälschten Datenbanken unterzuschieben. Der Vorgang ist denkbar einfach:

  • Als erstes modifiziert ein Angreifer die Signatur-Datenbanken. Er löscht, verändert oder fügt neue Einträge nach Belieben hinzu.
  • Im Anschluss berechnet (bspw. mit md5sum) er die md5-Hashwerte der modifizierten Datenbanken. Dies erfolgt jeweils für die ungezippte und gezippte Variante.
  • Die Hashwerte und Pfade zu den jeweiligen Signatur-Datenbanken werden anschließend in der info_data.ini bekannt gemacht.
  • Anschließend wird die info_data.ini gezippt und der md5-Hashwert der Datei berechnet.
  • Die Informationen zu den Signatur-Updates und den Pfad zur gezippten info_data.ini (inklusive dem passenden md5-Hashwert) werden anschließend in der version_data.ini bekannt gemacht.
  • Zum Abschluss legt der Angreifer alle modifizierten Dateien auf einen von ihm kontrollierten Server ab. Anschließend muss er in einem öffentlichen WLAN Anfragen an die Adresse »dl.sj.ijinshan.com« abfangen und diese an seinen Server umleiten.
  • Der Client bzw. die App bekommt hiervon nichts mit. Es wurden keinerlei Sicherheitsmaßnahmen (bspw. Signaturen, verschlüsselter Kommunikationskanal mit TLS Zertifikats-Pinning) implementiert, die das Einspielen von fremden Signatur-Updates verhindern bzw. erschweren können.

Die Anfragen der App im Detail:

[1] Anfrage version_data.ini

GET /duba/updateintl/version_data.ini HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1; sdk_phone_armv7 Build/LKY45)
Host: dl.sj.ijinshan.com
Connection: Keep-Alive
Accept-Encoding: gzip

[2] Anfrage info_data.ini

GET /duba/updateintl/data/bccba097160e3e666cfcec5aa4264024.ini.zip HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1; sdk_phone_armv7 Build/LKY45)
Host: dl.sj.ijinshan.com
Connection: Keep-Alive
Accept-Encoding: gzip

[3] Anfrage callmark.db.zip

GET /duba/updateintl/data/2015.09.25.1502/callmark.db.zip HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1; sdk_phone_armv7 Build/LKY45)
Host: dl.sj.ijinshan.com
Connection: Keep-Alive
Accept-Encoding: gzip

[4] Anfrage weiterer Signatur-Datenbanken

[ ... ]

Wer den Update-Prozess kontrolliert, der kontrolliert maßgeblich CM Security Antivirus Applock und damit die Sicherheit all derjenigen, die auf die Funktionalität der App vertrauen. Die Auswirkungen und Folgen variieren je nach Ziel und Zweck eines Angreifers. So wäre es bspw. möglich Apps die im eigentlichen Sinne keine Schadsoftware darstellen, als solche zu markieren oder die Anrufunterdrückung auf Rufnummern auszuweiten, die der Anwender selbst gar nicht blockiert hat.

5. Antiviren-Scanner als Sicherheitslücke

Es ist nicht neu das Antiviren-Software zu schutzlosen Wächtern gemacht werden können. So wäre es auch kaum verwunderlich, wenn nicht nur CM Security weitere eklatante Mängel aufweist, sondern viele weitere »Schutzapps« im Google Play Store von ähnlichen Schwachstellen betroffen sind. Gerade bei Software die eigentlich zum Schutz von Informationen eingesetzt werden, könnte man eigentlich mehr Sorgfalt und eine umfassende Qualitätskontrolle erwarten. Wenn Antiviren-Scanner allerdings wesentlich dazu beitragen, dass ein System erst angreifbar wird, dann hat es seinen Sinn und Zweck meilenweit verfehlt.

Nach dieser durchaus fragwürdigen Performance von Cheetah Mobile frage ich offen, wer die von Cheetah Mobile ausgegebenen Versprechungen zur Sicherheit noch bereit ist zu glauben:

Cheetah Mobile is very concerned about safeguarding the confidentiality of your information. We do not collect Personal Information, and we employ administrative, physical and electronic measures designed to protect your Non-Personal Information from unauthorized access and use.

Die Schwachstelle im Update Vorgang ist absolut vermeidbar und lässt sich innerhalb kürzester Zeit entdecken. Da hilft es nach meiner Auffassung auch wenig, noch diesen Satz in der Datenschutzerklärung nachzuschieben:

Please be aware that no security measures that we take to protect your information is absolutely guaranteed to avoid unauthorized access or use of your Non-Personal Information which is impenetrable.

6. Fazit

Aufgrund der Komplexität von Software sind Schwachstellen unvermeidbar. Grob geschätzt produziert ein Entwickler auf 1000 Codezeilen einen Programmierfehler. Viele dieser Fehler werden nie entdeckt oder wirken sich nicht negativ auf die Sicherheit bzw. Funktion aus. Manche Fehler erzeugen jedoch schwerwiegende Sicherheitslücken. Entscheidend ist allerdings, wie Entwickler mit dieser Problematik umgehen, insbesondere wenn ihnen eine Sicherheitslücke gemeldet wird. Die Bandbreite möglicher Reaktionen ist groß und umfasst alles von Ignorieren und Abwarten bis hin zu Auslobung von Geldprämien für gemeldete Schwachstellen.

Aufgrund des mir entgegengebrachten Verhaltens hat Cheetah Mobile nach meiner Ansicht die »Vogel Strauß Technik« gewählt. Dieses ist meiner Meinung nach die denkbar schlechteste Variante im Umgang mit gemeldeten Sicherheitslücken. Vielmehr wird hierdurch nur der Eindruck erhärtet, dass die Entwickler ihre Aufgaben weder verantwortungsvoll erfüllen, noch konstruktiv auf Kritik und Impulse hinsichtlich der Sicherheit reagieren.

Ferner sollten sich unabhängige Institute wie bspw. AV-TEST überlegen, ob sie Antiviren-Software nicht (noch) intensiver daraufhin prüfen sollten, ob sich deren Einsatz negativ auf ein System auswirkt bzw. es möglicherweise sogar angreifbar macht. Mein Artikel sollte aufzeigen, dass es in der heutigen Zeit nämlich nicht mehr ausreichend ist, lediglich die Schutzwirkung und Benutz­barkeit zu bewerten.

Bildquellen:

Green shields: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Virus: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

5 Ergänzungen zu “Android: CM Security Update Schwachstelle”

  1. Comment Avatar Ein anderer Kommentator sagt:

    Bezüglich ihrer Meinung, die durch aussagekräftige Informationen gestützt werden, kann ich ihnen nur vollkommen zustimmen. Da viele Nutzer die ,,wahre Funktionalität “ und sie Sicherheit vieler Apps nicht überprüfen können/wollen und die Google-Play Bewertungen größtenteils subjektiv ist, spielt es auch keine Rolle was diese Apps tatsächlich im Hintergrund machen. Daher sollte man sich keineswegs auf solche Nutzerbewertungen verlassen. Theoretisch gesehen würde auch eine völlig funktionslose App bei den unwissenden Nutzer gut ankommen, wenn diese den Nutzern erfolgreich vorgaukelt, dass sie nützlich ist.

  2. Comment Avatar TomTomate sagt:

    Hallo Herr Kuketz,

    Vielen Dank für den (wieder einmal) ausführlichen und interessanten Artikel! Cheetah Mobile ist ja kein Unbekannter bezüglich dieser Geschäftspraktiken, siehe Clean Master app und das kürzliche Debakel um QuickPic.
    Eine Randbemerkung noch: mit dem Kürzel CM verbinde ich eigentlich CyanogenMod und es hat eine Weile gedauert, bis ich realisiert habe, dass es nicht um ein Custom Rom geht. :-)

    Schöne Grüsse

  3. Comment Avatar Schmude sagt:

    Zunächst herzlichen Dank an Dich für Deinen sehr ausführlichen Bericht.

    Hinzufügen würde ich gerne von meiner Seite aus:
    Auf meinem neuen Galaxy S7 hatte ich ebenfalls die CM Security App installiert.
    Nach einigen Tagen begann sich das Gerät mit dem Hinweis „Process system reagiert nicht“ abzuschalten (das Internet ist voll mit Anfragen zu dieser Android-Systemmeldung) und bootete automatisch und permanent ohne über einen leeren Hintergrundbildschirm hinauszukommen.
    Nach zunächst Frust/Ratlosigkeit begann ich mit einer kleinen Potentialanalyse mit „Bordmitteln“ (um die Gerätegarantie nicht zu gefährden) – also schrittweises Eingrenzen des Fehlers. Im „sicheren Modus“ gestartet lief das Gerät einwandfrei.
    Danach begann ich u.a. heruntergeladene Apps zu deinstallieren und kaum war die CM Security App gelöscht – schwupps – seitdem funktioniert der kleine Racker wieder anstandslos.
    Nun mögen in Wirklichkeit andere Gründe gegriffen haben – von der CM Security App bin ich seither „kuriert“.

    Mit bestem Gruß

    Schmude

  4. Comment Avatar Beccy sagt:

    Ich habe absolut keine Ahnung.
    Was sollte man stattdessen nehmen?

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.