Google schränkt ein, welche Apps auf die Liste der installierten Apps auf Ihrem Gerät zugreifen können

Cyber Security News

Apps auf Android konnten bisher das Vorhandensein bestimmter Apps ableiten oder sogar die gesamte Liste der installierten Apps auf dem Gerät erfassen. Darüber hinaus kann eine App auch einstellen, dass sie benachrichtigt wird, wenn eine neue App installiert wird.

Abgesehen von den üblichen Bedenken über den Missbrauch einer solchen Datenerfassung können die Informationen von einer potenziell schädlichen App missbraucht werden, um Fingerabdrücke von anderen installierten Apps zu erstellen, das Vorhandensein von Antivirenprogrammen zu überprüfen, Partnerbetrug zu betreiben und sogar gezielte Werbung zu schalten.

Im Jahr 2014 begann Twitter, die Liste der auf den Geräten der Benutzer installierten Apps als Teil seiner “App Graph”-Initiative zu verfolgen, um maßgeschneiderte Inhalte zu liefern. Das Unternehmen MobiKwik, das digitale Geldbörsen anbietet, wurde ebenfalls dabei erwischt, wie es Informationen über installierte Apps sammelte, nachdem Anfang der Woche eine Datenpanne ans Licht kam.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Tatsächlich hat eine Studie einer Schweizer Forschergruppe im Jahr 2019 herausgefunden, dass “kostenlose Apps eher solche Informationen abfragen und dass Bibliotheken von Drittanbietern (Libs) die Hauptabfrage der Liste der installierten Apps sind.”

“Da Benutzer im Durchschnitt 80 Apps auf ihren Telefonen installiert haben, von denen die meisten kostenlos sind, besteht eine hohe Wahrscheinlichkeit, dass nicht vertrauenswürdige Drittanbieter die Liste der installierten Apps erhalten”, fügten die Forscher hinzu.

Eine andere akademische Studie, die im März 2020 veröffentlicht wurde, fand ebenfalls heraus, dass 4.214 Google Play-Apps heimlich eine Liste aller anderen installierten Apps anhäuften, wodurch Entwickler und Werbetreibende detaillierte Profile von Benutzern erstellen konnten. Apps, die dies tun, erreichen dies typischerweise durch die Verwendung von sogenannten installierten Anwendungsmethoden – getInstalledPackages() und getInstalledApplications() – wobei die Forscher aufdeckten, dass Apps in den Kategorien Spiele, Comics, Personalisierung, Autos und Fahrzeuge sowie Familie die Liste der Apps anführten, die diese Informationen sammeln.

[Blocked Image: https://thehackernews.com/images/-zKOSZKWlots/YGgMHQyh_hI/AAAAAAAACKQ/KzhfbTSKMWYv5YXB7prklG4WiE8AoAwDACLcBGAsYHQ/s0/hacking.jpg]

Letztes Jahr hat Google versucht, dieses Verhalten einzudämmen, indem es Apps ab Android 11 standardmäßig daran hinderte, auf diese Informationen zuzugreifen, und gleichzeitig eine neue Berechtigung namens “QUERY_ALL_PACKAGES” für Apps einführte, die Zugriff auf die Liste anderer installierter Apps benötigen.

“Dieses Filterverhalten hilft, die Menge an potenziell sensiblen Informationen zu minimieren, die Ihre App nicht benötigt, um ihre Anwendungsfälle zu erfüllen, auf die Ihre App aber dennoch zugreifen kann”, sagte Google.

In einem Versuch, den Missbrauch der QUERY_ALL_PACKAGES-Berechtigung einzuschränken, hat Google nun erklärt, dass es das Inventar der installierten Apps als persönliche und sensible Nutzerdaten behandelt.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Ab dem 5. Mai 2021 wird die Berechtigung nur noch auf Apps beschränkt, die für die Gerätesuche verwendet werden, sowie auf Antivirus-Apps, Dateimanager und Browser. Andere Apps, wie z. B. eine dedizierte Banking-App oder eine App für digitale Geldbörsen, können sich für diese Berechtigung ausschließlich für sicherheitsrelevante Zwecke qualifizieren.

Google sagte auch, dass es Apps nicht erlauben würde, die QUERY_ALL_PACKAGES-Berechtigung anzufordern, wenn die “Daten zum Zweck des Verkaufs erworben werden” oder die erforderliche Aufgabe durch eine alternative Methode erreicht werden kann.

“Apps, die die Richtlinienanforderungen nicht erfüllen oder kein Erklärungsformular einreichen, können von Google Play entfernt werden”, so das Unternehmen. “Wenn Sie ändern, wie Ihre App diese eingeschränkten Berechtigungen verwendet, müssen Sie Ihre Erklärung mit aktualisierten und genauen Informationen überarbeiten. Täuschende und nicht deklarierte Verwendungen dieser Berechtigungen können zu einer Aussetzung Ihrer App und/oder zur Kündigung Ihres Entwicklerkontos führen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com