Android: Google muss für mehr Sicherheit im Play Store sorgen!
Google Play ist der offizielle Marktplatz für Android-Apps, aus dem täglich unzählige Nutzer neue Anwendungen beziehen. In letzter Zeit gab es jedoch immer mehr Berichte über bösartige Apps, die sich über den Store verbreitet haben. Wo ist da die Qualitätskontrolle?
Natürlich reagiert das Unternehmen Mountain View in der Regel schnell und entfernt solche Anwendungen. Aber oft genug erreichen sie Tausende, wenn nicht gar Millionen von Downloads, bevor sie entfernt werden. Erst letztens waren es 29 Beauty-Apps, welche die Fotos von Benutzern geklaut haben. Nun sind es VPN-Apps, die eigentlich die Privatsphäre schützen sollten, aber stattdessen verletzt haben.
VPN-Apps verletzten die Privatsphäre, statt sie zu schützen
VPN- oder Virtual Private Network-Verbindungen werden häufig mit Blick auf eine erhöhte Privatsphäre und Sicherheit verwendet. Dennoch stufte Top10VPN jetzt die 150 beliebtesten kostenlosen Apps, als riskant für den Datenschutz ein. Zum großen Teil forderten die Anwendungen übermäßige Berechtigungen ein und forderten beispielsweise den Nutzerstandort an, obwohl sie gerade zum Verschleiern des selbigen genutzt wurden.
Google versucht bereits seit einiger Zeit gegen das übermäßige einräumen unnötigen Berechtigungen vorzugehen, aber es scheint, dass das Problem weiterhin besteht. Ein weiteres Problem sind Ad-Libraries von Drittanbietern, die auch die Privatsphäre der Nutzer gefährden und selbst unter den VPN-Apps unglaublich verbreitet sind.
Noch beunruhigender ist jedoch, dass 25% der beliebtesten kostenlosen Android-VPN-Apps Probleme mit der DNS-Verschleierung haben. Dabei werden einige DNS-Anfragen nicht durch den verschlüsselten Tunnel an den eigenen DNS-Server erzwungen, sondern stattdessen direkt an den standardmäßigen DNS-Server des Internetanbieters gerichtet. Damit stellt die App den Browserverlauf des Nutzers seinem Anbieter und jedem Drittanbieter von DNS-Servern, den dieser verwendet, zur Verfügung.
Selbst wenn keine böswillige Absicht dahintersteckt, erfüllen die Apps damit nicht vollständig ihren Hauptzweck. Das führt uns zu der nächsten Frage:
Was unternimmt Google dagegen?
Google selbst hat natürlich nicht tatenlos zugeschaut, während zweifelhafte oder gar bösartige Apps den Play Store besiedeln. Obwohl das Unternehmen nicht immer das schnellste mit seiner Reaktion auf die Probleme war, ist man hier kontinuierlich um die Verbesserung der Sicherheit bemüht.
Die Offenheit von Android ist dabei die größte Stärke, aber auch größte Schwäche des Betriebssystems. Die Fragmentierung sorgt schon seit langem für Sicherheitsprobleme, denn es ist einfacher, bekannte Fehler in älteren Android-Versionen auszunutzen. Mit Project Treble hat Google das Thema aber bereits angepackt und Sicherheitspatches kommen bereits viel häufiger als noch vor einigen Jahren bei den Nutzern an.
Mit Android 8 Oreo hat Google dann noch den Nutzern mehr Kontrolle über die Berechtigungen gegeben. Auch die sensible Berechtigungsgruppe "SMS" und "Anrufliste" hat das Unternehmen angepackt und als "kritische Kern-App-Funktionalität" deklariert. Damit darf der Zugriff nur eingefordert werden, wenn es für den Hauptzweck der Anwendung unverzichtbar ist.
Aber ist es nicht langsam an der Zeit, dasselbe mit Apps zu tun, die Zugriff auf den Standort, das Mikrofon oder die Kamera einfordern? Unabhängige Entwickler könnten dagegen argumentieren, da der Genehmigungsprozess für diese Berechtigungen und eventuell auftretende Streitigkeiten mit Google zeitaufwändiger sein werden. Für Benutzer könnte es zudem bedeuten, dass die Auswahl an Kamera-App oder ähnlichem geringer wird. Es gibt also keine einfache Lösung.
Bei der Suche nach potenzieller Malware setzt Google auf das Konzept der Automatisierung und nennt das ganze Google Play Protect. Hier kommt Machine Learning zum Einsatz, um täglich Milliarden von Geräten und Apps zu scannen. Aus Mountain View heißt es, dass 99 Prozent der Apps mit "missbräuchlichen Inhalten" es gerade wegen dieser Technik nie in den Play Store schaffen.
Dennoch musste das Unternehmen 2017 immer noch 700.000 Apps rauswerfen, die gegen die Richtlinien verstoßen, nachdem sie es bereits in den Google Play Store geschafft hatten. Auch bei Tests schnitt das Werkzeug erschreckend schlecht ab:
- Google Play Protect soll Euch schützen - und versagt kläglich
Was muss sich ändern? Wenn es ein Unternehmen mit ausreichenden Mitteln und Ressourcen gibt, um zumindest ein Screening durch Menschen durchführen zu lassen, dann ist es Google. Ja, der KI gehört die Zukunft und sie wird dafür auch dringend benötigt, wenn es um das Scannen großer Datenmengen geht. Aber sie ist nun mal nicht unfehlbar.
Warum also nicht Menschen einen Blick drauf werden lassen, wenn die KI Zweifel hat. Denn es wird immer bösartige Apps geben, die durch die ein oder andere Lücken schlüpfen und Machine Learning. Mit etwas menschlicher Unterstützung könnte man eine bessere Chance haben, sie zu finden, bevor sie Millionen von Downloads erreicht haben.
Was könnt Ihr tun?
Was könnt also Ihr als Nutzer selbst machen, um Eure Privatsphäre zu schützen und Malware aus dem Weg zu gehen. Es gilt das Übliche: Keine Apps installieren, die unnötig viele Berechtigungen einfordern. Eine Taschenlampen-App, die unbedingt Euren Standort wissen? Nein, Danke! Auch für wesentliche Features (Tastatur, Kamera, etc.) sollte man sich überlegen, ob man nicht lieber auf die vorinstallierten System-Apps setzt und den eigenen Wünschen anpasst. Den Drittanbieter-Apps Zugriff auf solch teils sensible Daten zu geben, ist natürlich immer mit einer Gefahr verbunden.
Und natürlich sollte man immer einen Blick auf die App-Rezensionen werfen, bevor man eine App installiert. Wenn die Mehrheit der Nutzer schlechte Erfahrungen mit einer Anwendung gemacht hat, ist es wahrscheinlich, dass es dir auch so geht. Mehr ins Detail gehen wir bei dem Thema in unserem Leitfaden:
Schließlich gibt es manchmal einfach nicht viel, was man hätte tun können - einige bösartige Anwendungen tarnen sich unglaublich gut. Hier muss Google handeln und Maßnahmen ergreifen. Ja, in den letzten Jahren gab es Fortschritte, aber meiner Meinung nach gibt es noch viel zu tun.
Was denkt Ihr? Welche Schritte sollte Google unternehmen, um den Play Store sicherer zu machen?
Habe eben gelesen das im Apple Store Apps den Bildschirm den der Nutzer gerade anschaut überträgt und die Nutzerdaten so abgräbt . Darunter sind sogar Apps von Banken. Tja wie heißt es immer Apple ist js so sicher.
Es kann auch nicht schaden, sich von Zeit zu Zeit die Berechtigungen aller Apps anzusehen und zu korrigieren. Wozu muss die AP App eigentlich meinen Standort kennen???
Für's Spionieren 😉
Problem liegt auch etwas am rechte management von Google. So ist mittlerweile für Apps die Bluetooth benutzen erforderlich die lokalisierungsrechte einzuschalten. Warum nur weil Google unbedingt andere Dienste damit verknüpft!
Auch einige weit verbreitete Entwicklungsbibliotheken, sind zwar für den APP Entwickler kostenlos, finanzieren sich aber über Datenhandel. Das kann man nur eindämmen in dem kostenlose Apps ihren code offenlegen müssen (= open source).
Gerade den Zusammenhang von BT mit dem Standort ist mir auch nicht wirklich klar. Beides hat quasi nichts miteinander zu tun, trotzdem muss eine App nach dem Standort fragen, wenn es BT nutzen will... das ist bescheuert.
Das ist unter Anderem der Preis für "alles umsonst haben will". Nichts auf der Welt gibt es ganz umsonst. Alles hat seinen Preis. Einer wird bezahlen.
..... vollkommen richtig, nicht mal der Tod ist umsonst, den musste mit deinem Leben bezahlen.....😂
Das Sterben ist generell teurer als die Geburt. Eine normale Bestattung Urne kostet hier Kapp 1500€.
Google macht es genau richtig. Sie filtern vor, soweit das möglich ist. Das geht in Zukunft vielleicht noch besser, wird aber niemals ausreichen. Beispielsweise prüfen einige Apps, ob sie wirklich auf einem Telefon installiert sind und verhalten sich unverfänglich, wenn es wahrscheinlich ist, dass sie in einer Testumgebung laufen. Dazu kann man beispielsweise prüfen, ob eine SIM vorhanden ist, ob sich der Standort ändert und zu welchen Zeitpunkten. Aber sogar ein simpler Termin kann eine Schadfunktion erst nach ein paar Monaten nachladen, wenn der Test mit Sicherheit bestanden ist.
Am Ende muss der Nutzer seine Apps kontrollieren. Sich damit herauszureden, man habe nicht genug Ahnung ist wie überall mitbumsen, aber nicht schwanger werden.
Apps kommen von überall auf der Welt. Die meisten Länder soetwas wie Datenschutz nicht. Viele kleine Entwicklern fehlt selbst die nötige Kenntnis, was welche Tools machen. Und dann gibt es große Konzerne, die ganz offen unmögliches verlangen, aber kaum jemand liest, auf was man sich einlässt.
Wie man es auch dreht und wendet, am Ende ist es mein Gerät, das kompromittiert ist und ich habe wohlmöglich den Ärger am Hals, weil Daten anderer durch mich irgendwo gelandet sind. Also muss ich mich darum kümmern, dass meine App-Auswahl soetwas möglichst unterbindet. Ganz egal, ob Google vorab etwas übersehen hat oder getäuscht wurde.
Diese Selbstverantwortung kann ich leider bei den wenigsten erkennen.
Ich frag mich ob der Autor des Artikels echter Android User oder eher der stille iPhone Freund ist.
Google wird es nie schaffen, für Sicherheit zu garantieren. Das braucht es sich garnicht. Dad größte Sicherheitsproblem ist der Benutzer. Als ich mit dem programmieren angefangen hatte, meinte mein Ausbilder zu mir "Denk immer dran, der User ist ein Idiot."
Selbst mit den strengsten Maßnahmen, wird sich wenig ändern.
Am besten ist es also, sich einfach den mainstream mist runterzuladen und wenig zu experementieren, wenn man keine Ahnung hat.
Am Ende geht es immer gegen den Nutzer . Selbst das beste Sicherheitsnetz ist nicht sicher genug.
Besonders schlimm daran ist dass die amerikanische Regierung den 11. September als Alibi nutzt die Menschheit überwachen zu dürfen. Viele "Sicherheitslöcher" sind doch erzwungen.
Es ist witzig, darauf hinzuweisen, dass ich ein iPhone-Freund bin, weil ich Google kritisch gegenüberstehe. Ja, ich bin ein echter Android-Benutzer. Zunächst habe ich mich dafür entschieden für AndroidPIT zu arbeiten - das sollte dir schon viel sagen. Zweitens benutze ich seit 2010 ein Android-Handy (HTC Desire HD war der erste), als die meisten Leute keine Ahnung hatten, was Android überhaupt war. Natürlich kann es im Play Store keine 100%ige Sicherheit geben, aber wenn du die Nachrichten verfolgt hast, hat Google in letzter Zeit keinen spektakulären Job gemacht. Trotzdem habe ich in dem Artikel erwähnt, dass sie sich bemühen, aber es gibt noch viel zu tun. Es ist wichtig, kritisch zu sein über die Dinge, die man verwendet und die man liebt - ich werde kein blindes Google-Fangirl sein.