In letzter Zeit wird viel über Sicherheitsprobleme bei Anwendungen wie WhatsApp gesprochen, die jetzt im Auge des Hurrikans stehen, und von einigen Herstellern wie Samsung über eine Hintertür in einigen seiner Terminals. Und es ist Android der Schuldige und nicht diese Unternehmen?
Was wir sagen, basiert auf der Tatsache, dass das, was in beiden Fällen passiert, unserer Meinung nach nicht auf einen Fehler oder Fehler in der Programmierung (oder Herstellung) zurückzuführen ist, sondern in dem Abschnitt, der dem Betriebssystem von Mountain View am meisten misstraut: die den Anwendungen erteilten Berechtigungen die installiert sind. Das Berechtigungsmodell bestimmt, was eine App lesen, ändern oder ausführen kann..
Die große Freiheit, die Android im Vergleich zu anderen Android-Betriebssystemen bietet, bietet Entwicklern die Möglichkeit, auf verschiedene Optionen und Orte der Geräte der Benutzer zuzugreifen wenn nicht richtig verwaltet es kann zu einem großen Problem werden (und wird in anderen Entwicklungen bestritten). Auf diese Weise können einige Kreationen, wenn Sie nicht aufpassen, Zugriff auf den Speicher des Geräts und sogar auf das Radio haben - und wir beziehen uns nicht auf die Musik - und somit unerwünschte Aktionen ausführen. Erteilen von Berechtigungen, ohne deren Umfang zu verstehen ist der übliche Auslöser.
Also derjenige, der es kann kopiere die Datenbank WhatsApp auf der SD-Karte oder nicht autorisierte Kommunikationen sind möglicherweise kein Problem der Unternehmen, sondern des Betriebssystems selbst... oder genauer gesagt des Benutzers, der das Android-Terminal verwendet, da dieser die Berechtigungen für die Installation erteilt. Das schwächste Glied ist in der Regel die Entscheidung des Benutzers vor einem BerechtigungsfeldEin Beispiel hierfür: Der von Samsung verwendete und besprochene Zugriff auf das Radio und die SD-Karte ist in einigen Anwendungen einfach routinemäßig, wie angegeben Dan Rosberg von Azimut-Sicherheit. Das heißt, nichts Neues, was nicht vorher passiert ist.
Und was kann man dagegen tun?
Die Wahrheit ist, dass die Lösung, zumindest auf dem Papier, nicht kompliziert zu sein scheint…. Nicht viel weniger. Im Grunde von was Die Benutzer müssen darauf achten, wichtige Berechtigungen für Entwicklungen zu erteilen, denen nicht vollständig vertraut wird. Von vertrauenswürdigen Quellen installieren und seien Sie vorsichtig bei Apps, die unnötigen Zugriff anfordern.. Wenn Sie beispielsweise eine Anwendung von Google verwenden oder von einer Bank erstellt wurden, sollten Sie kein Problem haben, aber bei Programmen, die keinen eindeutigen Ursprung haben, ist es am besten, dies nicht zu riskieren. Auf diese Weise werden die Probleme geringer.
Aber die Wahrheit ist, dass von Mountain View aus eine Maßnahme in Form von auffälligere Hinweise, wie es bei Google Play im letzten Update passiert ist. Klare Nachrichten, Warnsymbole und verständliche Beschreibungen der einzelnen Berechtigungen reduzieren impulsive Klicks.Auf diese Weise werden Nutzer deutlich deutlicher darauf hingewiesen und wissen, was zu tun ist und ob eine wichtige Berechtigung versucht wird. Android-Entwickler sollten hier unbedingt aktiv werden.
Tatsache ist, dass sich Unternehmen wie WhatsApp gegen Vorwürfe der mangelnden Sicherheit gewehrt haben und im vorliegenden Fall absolut Recht haben ... es ist kein Problem ihrer Entstehung, sondern von Android. Ohne die entsprechende Berechtigung kann eine App nichts lesen oder senden.Um die Stirn zu runzeln, muss man also den Kopf wegdrehen und hoffen, dass Google etwas unternimmt (kein Wunder, dass das Nexus beispielsweise keine microSD-Karten hat, oder?).
Android-Berechtigungen, die höchste Vorsicht erfordern
Es gibt Berechtigungen, die naturgemäß umfassende Transparenz und Kontrolle gewähren. Wenn Sie diese Berechtigungen zweifelhaften Apps gewähren, kann dies Malware und Betrug Tür und Tor öffnen..
Zugänglichkeit
Notwendig für technische Hilfsmittel, aber ermöglicht es Ihnen, zu lesen, was Sie sehen, und Tastenanschläge zu automatisieren. Malware nutzt es, um Passwörter auszuspionieren, SMS-Nachrichten abzufangen und die Kontrolle über das Gerät zu übernehmen. In neueren Versionen ist die Aktivierung gezielter und eingeschränkter. Weitere Informationen zu Sonderberechtigungen finden Sie unter Sondergenehmigungen erteilen.
Ãœber andere Apps anzeigen
Ermöglicht das Überlagern schwebender Fenster. Anmeldebildschirme können gefälscht werden, um Anmeldeinformationen zu stehlen. oder erfassen Sie Ihre Eingaben mit unsichtbaren Elementen.
Gerätemanager
Gewährt Kontrolle an Deinstallation verhindern, Telefon blockieren oder löschen. Nützlich in Unternehmensumgebungen oder zum Sperren des Bildschirms, gefährlich in den falschen Händen.
Installieren Sie unbekannte Anwendungen
Autorisiert eine App, Installationen zu initiieren. In Kombination mit Overlay oder Zugänglichkeit kann es Sie dazu verleiten, weitere Malware zu installieren.Verweigern Sie die Berechtigung, es sei denn, dies ist unbedingt erforderlich. Zukünftige Android-Versionen werden die Handhabung dieser Berechtigung verbessern.
Zugriff auf alle Dateien (Dateiverwaltung)
Ermöglicht Ihnen das Lesen, Ändern und Löschen von freigegebenem Speicher. Nur Dateimanager, Backups oder ähnliches sollten danach fragen.. Lernen Entfernen Sie unnötige Berechtigungen wenn sie nicht unbedingt erforderlich sind.
Multimedia-Verwaltung
Gewähren Lesen/Schreiben von Fotos und Videos aus anderen Apps. Nützlich für Galerie-/Cloud-Kopier-Apps. Bitte überprüfen Sie es, wenn der Grund nicht klar ist.
Benachrichtigungen und SMS
Zugriff auf Benachrichtigungen oder SMS kann erfassen Bestätigungscodes und Banktransaktionen illegal bestätigen. Vermeiden Sie dies, es sei denn, die App rechtfertigt es.
So verwalten und widerrufen Sie Berechtigungen auf Android
Android bietet einen zentralen Manager zur Überprüfung des Zugriffs. Nehmen Sie sich ein paar Minuten Zeit, um Ihre App-Berechtigungen zu überprüfen.:
- Öffnen Sie Einstellungen → Apps → wählen Sie eine App → Berechtigungen. Gewähren Sie nur das Nötigste.
- Überprüfen Sie unter „Sicherheit und Datenschutz“ → „Datenschutz“ → „Berechtigungsmanager“ nach Typ (Standort, Kamera, Mikrofon usw.). Widerrufen in Apps, die es nicht benötigen.
- In Anwendungen mit speziellem Zugriff, Kontrolle In anderen Apps anzeigen, Unbekannte Apps installieren y Zugänglichkeit.
- Aktivieren Sie die Option, dass Automatisches Widerrufen von Berechtigungen für inaktive Apps für eine Zeit.
- Über die Datenschutzeinstellungen können Sie Kamera und Mikrofon global blockieren wenn Sie sie nicht verwenden.
Wenn Sie modifizierte oder gerootete ROMs verwenden
Modifizierte Versionen des Systems oder Root-Zugriff den Schutz der Ureinwohner schwächen (App-Verifizierung, Sicherheitspatches und Anti-Phishing-Schutz). Sie können Apps ohne Kontrolle installieren und ihnen Zugriff ohne effektive SandboxWenn Sie mit sensiblen Daten arbeiten, sollten Sie die Firmware auf die Standardversion zurücksetzen oder Ihre kritischen Konten auf ein anderes Gerät übertragen. Wenn Sie gerootet sind, informieren Sie sich über Tools wie SuperSU.
Risiken für fortgeschrittene Entwickler: Benutzerdefinierte Berechtigungen
Es gibt auch weniger sichtbare Vektoren. Schlecht definierte benutzerdefinierte Berechtigungen kann von bösartigen Apps ausgenutzt werden:
- Tippfehler: Durch das Schützen von Komponenten mit einer falsch geschriebenen Berechtigung kann eine andere App diese beanspruchen und darauf zugreifen.
- Verwaiste Berechtigungen: Wenn sie aktiviert, aber nicht im Manifest deklariert sind, kann ein Dritter sie definieren und Kontrollen umgehen.
- android:protectionLevel Unangemessen: Die Verwendung von „normal“ oder „gefährlich“ für sensible Funktionen verringert den Schutz. Signaturebene bevorzugen sofern zutreffend.
- Rennbedingungen: Durch die Deinstallation der App, die die Berechtigung definiert hat, kann eine andere App diese möglicherweise mit weniger Schutz neu definieren.
Abhilfemaßnahmen: Android-Fussel Um Fehler zu erkennen, konsistente Namenskonventionen, definieren Sie immer die verwendeten Berechtigungen und, wenn möglich, Signaturüberprüfung zwischen Apps anstatt sich auf benutzerdefinierte Berechtigungen zu verlassen. Sehen Sie sich Vorschläge an wie Hoppla App um feinere Steuerungen zu verstehen.
Bewährte Verfahren zur Risikominderung
- Denken Sie an die Notwendigkeit- Wenn eine App für ihre Funktion weder Standort noch Kamera oder Mikrofon benötigt, verweigern Sie die Berechtigung.
- Eingeschränkter Standort: Verwenden Sie „Nur wenn die App verwendet wird“ anstelle von Always-On-Zugriff.
- Kalender und SMS: enthalten kritische Daten. Vermeiden Sie es, sie wegzugeben es sei denn, der Nutzen ist klar.
- Nach jedem Update prüfen: Einige Apps integrieren neue Berechtigungsanfragen.
- Überschneidungen vermeiden außer in vertrauenswürdigen Apps (Chat-Blasen, schwebende Übersetzer usw.).
- Installation aus offiziellen Stores und deaktivieren Sie „Unbekannte Apps installieren“ bei Apps, die dies nicht benötigen.
- Löschen Sie Apps, die Sie nicht verwenden: Reduzieren Sie die Angriffsfläche und die Anzahl aktiver Berechtigungen.
Die Sicherheit von Android hängt nicht nur vom Code einer App oder ihrem Hersteller ab: Das Berechtigungsmodell und die Entscheidungen der Benutzer machen den Unterschied. Das Wissen um gefährliche Berechtigungen, Sonderzugänge prüfen und die Anwendung guter täglicher Praktiken ist die effektiver Weg um Betrug, Informationsdiebstahl und unbefugte Aktionen zu verhindern, ohne die flexibilidad das macht Android leistungsstark.