Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
12. Oktober 2012

aSpotCat – Datenschutz für Android Teil1

1. Artikelserie »Datenschutz für Android«aSpotCat

Mittlerweile existieren Millionen von Apps für Android, iOS und weitere mobile Plattformen. Viele dieser Apps greifen ungeniert auf die persönlichen bzw. sensiblen Nutzerdaten zu. Jede Installation einer neuen App erfordert auf Android die Bestätigung von unterschiedlichen Berechtigungen. Anwender sind mit diesem Berechtigungskonzept im Normalfall vollkommen überfordert und erteilen Apps damit unwissentlich Zugriff auf sensible Daten, wie den aktuellen Aufenthaltsort, Kalendereinträge, Kontakte oder den USB-Speicher der Geräte.

Das eigentliche Problem ist allerdings die Tatsache, dass einzelne Berechtigungen bei der App-Installation nicht beeinflusst werden können. So hat der Anwender keinerlei Möglichkeit seine sensiblen Daten überhaupt zu schützen, selbst dann nicht, wenn er das Berechtigungskonzept verinnerlicht hat. Ihr als Anwender könnt also nur eines tun: Die App installieren, allen angeforderten Berechtigungen zustimmen oder die Installation ablehnen.

Update

28.11.2017: Diese Artikelserie ist mittlerweile veraltet. Wer die Herrschaft und Kontrolle über sein Android-Smartphone anstrebt, dem kann ich die Artikelserie »Your phone – Your data« oder »Android unter Kontrolle« ans Herz legen.

In der Artikelserie »Datenschutz für Android« möchte ich diesen Umstand aufgreifen und euch Tools vorstellen, mit denen ihr euch gegen die ungewollte Datensammlung schützen könnt. Folgendes möchte ich euch in den kommenden Wochen aufzeigen:

  • Welche Berechtigungen haben die installieren Apps? Was dürfen sie?
  • Was kann ich dagegen tun? Kann ich die Berechtigungen nicht doch manuell einschränken?
  • Welche Tools zur Rechteverwaltung gibt es? Welches ist wirklich empfehlenswert?
  • Muss ich mein System dafür »rooten«? Benötige ich ein Custom ROM?
  • Letztendlich: Wie erhalte ich die Kontrolle über meine persönlichen Daten wieder zurück.
Dieser Beitrag ist Teil einer Artikelserie:

2. App Berechtigungen

Bei der Installation einer neuen App werden die »benötigten« Zugriffsrechte von den meisten Anwendern kurz abgenickt. Dieses Popup wird meist als störendes »Hindernis« aufgefasst, was euch lediglich von der Nutzung der brandneuen App abhält. Dabei räumen sich Apps Berechtigungen ein, die sie im Normalfall eigentlich gar nicht benötigen. Das reicht von den oben angesprochenen Beispielen, wie Aufenthaltsort bis hin zu Internetzugriff, SMS lesen und sogar Telefonate mitschneiden. Muss das sein? Eigentlich nicht und dennoch werden Daten ungefragt beim Benutzer »abgegriffen«.

Der ein oder andere unter euch macht sich dann doch seine Gedanken und möchte wissen, welche Zugriffsrechte einzelne Apps überhaupt besitzen. Über »Einstellungen –> Apps  –> App wählen« sind die Berechtigungen mit wenig aussagekräftigen Informationen kurz aufgelistet. Die dort bereitgestellten Informationen genügen allerdings nicht annähernd für eine Wissensvermittlung. Wer das Berechtigungskonzept überblicken möchte, dem empfehle ich die App aSpotCat. Sie ist kostenlos im Google Play Store erhältlich und finanziert sich durch Einblendung von Werbung. Durch eine separate Lizenz lässt sich die Werbung deaktivieren.

3. aSpotCat

Das Tool unterstützt drei verschiedene Darstellungsmodi zur Anzeige der Berechtigungen:

  • Apps nach Berechtigungen auflisten: aSpotCat zeigt die in Android verfügbaren Rechtekategorien an. Mit einem Fingertipp auf eine Kategorie listet aSpotCat alle Apps auf, die über die ausgewählte Berechtigung verfügen.So lässt sich schnell herausfinden, welche Apps bspw. den physischen Standort auslesen dürfen.
  • Apps nach Lesezeichen auflisten: Hier werden alle Berechtigungen erfasst, die ihr als Lesezeichen markiert habt. So könnt ihr besonders heikle Berechtigungen wie »Kurznachrichten senden« oder »Telefonnummern direkt anrufen« der einzelnen Apps auf einen Blick überwachen.
  • Apps auflisten: Es werden alle auf eurem Smartphone installierten Apps aufgelistet. Mit einem Tipp auf eine App werden euch alle Berechtigungen der selektierten App dargestellt.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

 3.1 aSpotCat Beispiel: Facebook

Als Beispiel habe ich die Facebook App gewählt. Stand 12. Oktober 2012 »erzwingt« die App bei der Installation die Zustimmung zu 12 unterschiedlichen Berechtigungen. Mittels aSpotCat können diese übersichtlich dargestellt werden:

Facebook

Facebook ist nicht gerade für seine herausragende »Privatsphäre« oder den außerordentlichen Schutz von privaten Daten bekannt. Hinter dem Unternehmen steckt ein gewinnorientiertes, börsennotiertes Unternehmen, dessen ganze »Kapitalblase« auf den gesammelten Daten der Nutzer beruht. So ist es wenig überraschend, wenn das Unternehmen auch bei der App keinen Halt davor macht, euch und eure Vorlieben ganz genau »kennen zu lernen«. Die aufgelisteten Berechtigungen sprechen eine eigene Sprache und bedürfen keiner weiteren Erklärung.

Die Berechtigung »Ihre persönlichen Informationen« möchte ich mir dennoch genauer aufschlüsseln lassen:

Facebook

Am rechten Rand jeder Berechtigung blendet aSpotCat abhängig von der »Fragwürdigkeit« bzw. »Grad der Gefährlichkeit« eine farbiges Symbol ein. Durch das Ampelsystem (rot, gelb und grün) erhaltet ihr ein grafisches Feedback, das euch dabei helfen soll, die dargestellte Berechtigung besser einschätzen zu können.

4. Fazit

Google, Marketing-Unternehmen, staatliche Institutionen und weitere »Datenkraken« nehmen auf Datenschutz bzw. auf das Recht der Informationellen Selbstbestimmung keine Rücksicht. Unsere sensiblen Daten stellen für einen Großteil der Unternehmen ein wahres Eldorado dar.

Im ersten Teil der Artikelserie wollte ich euch zunächst auf das »verkorkste« Android-Berechtigungssystem aufmerksam machen. Wer bei der Installation von neuen Apps nicht aufpasst, gestattet Apps Zugriff auf sensible Informationen, die sie für den eigentlichen Betrieb häufig nicht benötigen und lediglich dazu dienen, Daten beim Nutzer »abzugreifen«. Mit aSpotCat könnt ihr diesen Fehler korrigieren und insbesondere solche Apps identifizieren, die sich weitreichende Berechtigungen genehmigen.

Leider bietet aSpotCat keine Eingriffsmöglichkeit zur Veränderung von Zugriffsrechten einzelner Apps. Im zweiten Teil der Artikelserie »Datenschutz für Android« möchte ich euch die Tools LBE Privacy Guard [nicht mehr verfügbar] und PDroid Privacy Protection [nicht mehr verfügbar] vorstellen. Beide ermöglichen den »Schutz« eurer persönlichen Daten und Informationen.

Bildquellen:

aSpotCat: https://play.google.com/store/apps/details?id=com.a0soft.gphone.aSpotCat&hl=de

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Android Berechtigungsmodell
15. August 2016

Das Android Berechtigungsmodell: Ein perfides Konstrukt

Das Android Berechtigungsmodell eignet sich nicht für die Wahrung der informationellen Selbstbestimmung.
Android Berechtigungen
22. Februar 2013

Android Berechtigungen – Alles oder nichts

Android Berechtigungen - Ein intransparentes Sammelsurium. Der Nutzer muss sich entscheiden. Installieren oder besser doch nicht?
XPrivacy
23. September 2014

XPrivacy – Android ohne Google?! Teil6

Your phone your data - Mittels XPrivacy können wir die ungewollte und oftmals auch unfreiwillige Weitergaben unserer Daten verhindern
F-Droid
28. Juni 2017

F-Droid und App-Alternativen – Android unter Kontrolle Teil3

F-Droid ist ein verbraucherfreundlicher Android App-Store, in dem datenschutzfreundliche Apps angeboten werden.
OpenPDroid
26. Januar 2013

OpenPDroid, PDroid 2.0 oder PDroid – Ja was denn nun?

OpenPDroid oder PDroid 2.0 oder PDroid?! Mittlerweile existieren drei unterschiedliche Rechteverwaltungen für Android. Welche davon nutzen?
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

6 Ergänzungen zu “aSpotCat – Datenschutz für Android Teil1”

  1. Comment Avatar snoffy sagt:
    26. Oktober 2012 um 21:00 Uhr

    die app werd ich mir auf jedenfall noch drauftun, guter bericht und weiter so!

  2. Comment Avatar Tobias sagt:
    13. Januar 2013 um 17:16 Uhr

    Hat mir gut gefallen der Artikel, werde jetzt öfters reinschauen!

  3. Comment Avatar joda sagt:
    1. Februar 2013 um 23:03 Uhr

    Setze seit einiger Zeit LBE Privacy Guard ein mit dem ich die Berechtigungen der Apps von Fall zu Fall freigeben, oder auch pauschal unterbinden kann. Bei jeder neu installieren App fragt er aktiv den Nutzer was die App alles abfragen darf

    Sicherlich geht es bestimmt detaillierter, jedoch nützlich.

    Gruß
    Joda

  4. Comment Avatar JOCKEL sagt:
    6. Februar 2013 um 22:17 Uhr

    Lieber Mike,
    bitte weise noch in deinem Artikel darauf hin, daß „aSpotCat“ werbefinanziert
    durch Einblendungen am untersten Displayrand des Tablet ist.
    Für die werbefreie Version muß man eine Lizenz erwerben.

    Viele Grüße, und mach bitte weiter mit deinen Aufklärungsartikeln.
    Werde Dich eventuell noch mehrmals zu diesen Thema kontaktieren

    JOCKEL

  5. Comment Avatar Gauloises sagt:
    21. Februar 2013 um 17:28 Uhr

    Hi Mike,

    dass ist das erste mal überhaupt, dass ich auf irgendeiner Seite ein Kommentar verfasse. Aber hier muss eindeutig, einfach mal ein ganz großes Lob ausgesprochen werden. Ich finde es super, wie man hier umfangreich, genau und vor allem ohne zu viel Fachsprache informiert wird. Werd auf jeden Fall weiterlesen, sodass ich mein Smartphone dann vll doch noch ruhigen Gewissens bedienen kann! Weiter so!

    Grüße

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.