Android Berechtigungen - eine Top-500 Analyse 2014

Android Berechtigungen

eine Top-500 Analyse 2014

Oliver Kunz
von Oliver Kunz
Lesezeit: 13 Minuten

Die Entwicklung von Smartphones geht rasant weiter. Sei es die des jeweiligen Betriebssystems oder die – bereits in Massen – verfügbaren Applikationen. Von Anfang an ein zentrales Element bei der Entwicklung der Smartphone Betriebssysteme war die Sicherheit. Für diesen Artikel wurde die Analyse der Top-500 Applikationen im Google Play Store aus dem Jahr 2013 (siehe Labs: Android Berechtigungen – eine Top-500 Analyse) wiederholt.

Eine Übersicht

Im Vergleich zum vergangenen Jahr änderte sich im Google Play Store Einiges. So auch die Art und Weise, wie einem Benutzer die Berechtigungen präsentiert werden. Im vergangenen Jahr wurde eine gekürzte Liste präsentiert und danach – sofern der Benutzer den Link bemerkte – konnten alle restlichen Berechtigungen angezeigt werden. Während im Vorjahresbericht 11 Berechtigungsgruppen identifiziert wurden, waren es in diesem Jahr bereits 27. Die Berechtigungsgruppe Mailbox erschien nur in den Gratisapplikationen.

  1. Audioeinstellungen
  2. Auswirkungen auf den Akku
  3. Benutzeroberfläche anderer Apps
  4. Bluetooth
  5. Display-Sperre
  6. Entwickler-Tools
  7. Hintergrund
  8. Ihre Konten
  9. Ihre Nachrichten
  10. Ihre personenbezogenen Daten
  11. Ihre sozialen Informationen
  12. Informationen zu Ihren Apps
  13. Kamera
  14. Lesezeichen und Verlauf
  15. Lesezugriff Mein Wörterbuch
  16. Mikrofon
  17. Netzkommunikation
  18. Schreibzugriff Mein Wörterbuch
  19. Speicher
  20. Standort
  21. Statusleiste
  22. Synchronisierungseinstellungen
  23. System-Tools
  24. Telefonanrufe
  25. Uhr
  26. Wecker
  27. Mailbox

Ebenfalls verändert hatte sich die Anzahl, der in der API Referenz aufgeführten Standardberechtigungsgruppen. Neu sind es 31, 2013 waren es noch 30. Hinzugekommen ist eine Berechtigungsgruppe für Accessibility Zugriffe.

Bei den einzelnen Berechtigungen konnte ebenfalls ein Zuwachs beobachtet werden. Zu den 130 dokumentierten Android-Berechtigungen aus dem Jahr 2013 kamen 15 Neue hinzu. Weiterhin zulässig ist die Definition von weiteren Berechtigungen durch die Entwickler. Dies wiederum bedeutet, dass weitaus mehr als 145 unterschiedliche Berechtigungen existieren.

Die Top-500

Der Google Play Store führt unterschiedliche Top-Charts. Für diese Analyse wurden die Top-500 kostenpflichtige und die Top-500 kostenlosen Applikationen untersucht. Die Top-500-Listen und zugehörigen Daten wurden am Montag, 3. März 2014, vom Store geladen und in den folgenden Tagen bearbeitet.

Kostenlose Apps

Alle Berechtigungen von kostenlosen Apps - Zum Vergrössern bitte klicken

Die Grafik alle Berechtigungen kostenloser Apps zeigt jede gefundene Berechtigungsgruppe innerhalb der 500 kostenlosen Applikationen auf. Im Vergleich zum Vorjahr kamen 15 Neue dazu. Die fünf am meisten verwendeten sind:

Die folgende Grafik bildet die Anzahl Berechtigungen pro Berechtigungsgruppe ab. Spitzenreiter sind die System-Tools mit 24, gefolgt von Ihre Konten mit 15 und Ihre Nachrichten mit 10 unterschiedlichen Berechtigungen.

Berechtigungen pro Berechtigungsgruppe, kostenlose Apps. - Zum Vergrössern bitte klicken

Elf der Berechtigungen konnten in mehr als 100 Applikationen festgestellt werden. Die grösste Verbreitung fanden zwei Berechtigungen aus der Gruppe Netzkommunikation (Zugriffe auf alle Netzwerke und Netzwerkverbindungen abrufen). Die drittmeistverwendete Berechtigung ermöglicht den Zugriff auf USB Speicherhinhalte (USB-Speicherinhalte ändern oder löschen). Von den restlichen dieser Berechtigungen sind besonders jene der Netzkommunikation und die Berechtigung Konten auf dem Gerät suchen zu beachten. Letztere ermöglicht es einer Applikation, alle auf dem Gerät eingerichteten Konten (siehe Systemeinstellungen/Allgemein/Konten unter Android KitKat).

Beliebte Berechtigungen in kostenlosen Apps - Zum Vergrössern bitte klicken

Als nächstes wird die Anzahl Berechtigungen die angefordert werden, auf die entsprechende Anzahl Applikationen geschlüsselt. Im Durchschnitt werden 11 Berechtigungen pro Applikation angefordert. Im Vergleich mit dem Jahr 2013 sieht man eine grosse Abweichung bezüglich Applikationen mit vielen Berechtigungen. Der diesjährige Spitzenwert belegt eine Applikation mit 50 Berechtigungen. Es handelt sich hierbei um eine AntiVirus Lösung (AntiVirus Security – FREE) von AVG Mobile. Ersichtlich ist auch, dass sich die Verbreitung von vielen Berechtigungen über wenige Applikationen erstreckt.

Anzahl angeforderter Berechtigungen, kostenlose Apps - Zum Vergrössern bitte klicken

Kostenpflichtige Apps

Alle Berechtigungen kostenpflichtiger Apps - Zum Vergrössern bitte klicken

Wie bei den kostenlosen Applikation weisen die Top-500 der kostenpflichtigen Apps 26 Berechtigungsgruppen auf. Die fünf meist verwendeten sind:

Wie schon bei den kostenlosen Applikationen befindet sich auch hier die Gruppe System-Tools an der Spitze, gefolgt von Netzkommunikation und Ihre Nachrichten.

Berechtigungen pro Gruppe, kostenpflichtige Apps - Zum Vergrössern bitte klicken

Analysiert man die Berechtigungen, die in mehr als 100 Applikationen verwendet werden, wird ersichtlich, dass dies auch in dieser Kategorie 11 Berechtigungen sind. Ebenfalls an der Spitze, wie schon bei den kostenlosen Applikationen ist die Berechtigung Zugriffe auf alle Netzwerke. USB-Speicherinhalte ändern oder löschen, bei den kostenlosen Applikationen auf dem dritten Platz, findet sich hier auf der Position zwei. Die Top drei wird komplettiert durch Zugriffe auf geschützten Speicher testen.

Beliebte Berechtigungen in kostenpflichtigen Apps - Zum Vergrössern bitte klicken

Beim Mapping der Anzahl Berechtigungen auf die Anzahl Applikationen mit dieser Anzahl zeigt sich im Vergleich mit dem Vorjahr ein ähnliches Bild. In diesem Jahr ist der Spitzenreiter, genau wie bei den kostenlosen Apps, AVG Mobile mit der kostenpflichtigen Variante des Anti-Virus – Mobile AntiVirus Security PRO.

Anzahl angeforderter Berechtigungen, kostenpflichtige Apps - Zum Vergrössern bitte klicken

Grundsätzlich interessant sind auch Applikationen die ohne jegliche Berechtigung auskommen. Dies sind oft Lizenzschlüssel. Im vergangenen Jahr konnten einige Lizenzschlüssel, aber auch spezifische Spende-Apps – welche dem Entwickler einen fixen Betrag für seinen Aufwand zukommen lassen – identifiziert werden. In diesem Jahr kam eine weitere Kategorie dazu, die Add-Ons. Total wurden 34 Applikationen ohne Berechtigung vorgefunden. Von diesen hatte rund ein Dutzend eine eigenständige Funktion. Die Mehrheit konnte aufgeschlüsselt werden in:

Die meisten Applikationen ohne Berechtigungen sind Lizenzschlüssel und aktivieren die Vollversion einer bereits installierten Applikation.

Kostenpflichtige Apps, die keine Berechtigungen erfordern - Zum Vergrössern bitte klicken

Weitere Berechtigungen in den Top-500

Die folgende Tabelle enthält weitere Berechtigungen, welche in der Analyse hervor traten. Diesmal nicht auf Grund Ihrer Häufigkeit, sondern deren Bedeutung im sicherheitsrelevanten Kontext.

Berechtigung Beschreibung Szenarien Verbreitung in kostenpflichtiger Apps Verbreitung in kostenfreier Apps

Berechtigung Beschreibung Szenarien Verbreitung in Bezahl-Apps Verbreitung gratis Apps
Telefonstatus und Identität abrufen Auslesen der Telefonnummer, der Geräte-ID (IMEI), der Telefonnummer des Gesprächspartners und den Anrufstatus des Telefons Informationssammlung: Eigene Identität und Nutzungsverhalten, Identität der Kommunikationspartner 175 270
Telefonnummern direkt anrufen Telefonnummern ohne den Android-Dialer (potentiell ohne Wissen des Nutzers) wählen Kostenverursachen, Abhören von Gesprächen 23 29
Dateien ohne Benachrichtigung herunterladen Download von Dateien über den Download-Manager Content, auch Malware, nachladen 1 4
Systemeinstellungen ändern Eine App kann die Systemeinstellungen nach ihrem Belieben anpassen Systemkonfiguration schwächen, Services ausschalten 56 57
Netzwerkeinstellungen und -verkehr ändern/abfangen Eine App kann die Netzwerkeinstellungen nach ihrem Belieben anpassen Netzwerkverkehr kann überwacht oder weitergeleitet werden. 4 2
Konten auf dem Gerät suchen Die App kann Konten, welche nicht im direkten Zusammenhang mit Ihrer Funktion stehen in Erfahrung bringen Informationen über einen Benutzer erfassen 113 199
Sicherheitseinstellungen für das System ändern Sicherheitseinstellungen nach belieben verändern Sicherheitskonfiguration des Systems schwächen, für weitere Angriffe vorbereiten 2

Konfrontation zweier Entwickler

Im vergangenen Sommer konfrontierte ich zwei Entwickler mit den Berechtigungen für Ihre Applikationen. Ich fragte nach, wozu diese verwendet werden – die Möglichkeit eine Alibi-Antwort zu erhalten ist natürlich nicht auszuschliessen. Der eine Entwickler antwortete innerhalb von wenigen Tagen, der Zweite benötigte einiges mehr Zeit. Doch nach etwa einem Monat flatterte auch dessen Antwort in meine Mailbox. Dieses Jahr habe ich das wieder getan, aber bei Redaktionsschluss hat noch keiner der Entwickler geantwortet. Sobald das geschieht werde ich diesen Artikel updaten.

Beim Browsen des Play Stores sind mir Applikationen aufgefallen, welche in der Beschreibung eine Auflistung der Rechte, und wozu diese gebraucht werden, haben. Aus meiner Sicht ist dies sehr erfreulich und sollte von jedem Entwickler in Betracht gezogen werden. Es steigert die Transparenz und fördert das Vertrauen sowohl in die Applikation wie auch den Entwickler.

Fazit

Innerhalb eines Jahres veränderte sich nicht nur die Top-500 Listen, sondern auch die Umgebung in denen die Applikationen zur Anwendung kommen. Neue Berechtigungen wurden geschaffen. Auf den Smartphones werden bei der Installation immer noch erst ein Teil der Berechtigungen angezeigt. Im Vergleich zur Installation via Desktop-Browser ermöglicht das Smartphone immerhin die Anzeige der Beschreibungstexte. Dies ist ein Mangel, der von Google behoben werden sollte.

Benutzern, die eine Applikation installieren, ist zu empfehlen, dies via Smartphone zu tun und die Berechtigungen, die angefordert werden zu prüfen. Wenn irgendeine Berechtigung im Vergleich mit der Funktionsbeschreibung der Applikation nicht zusammen passt, so sollte sich die Installation gut überlegt sein. Auch wenn nicht alle Entwickler antworten oder lange brauchen um zu antworten, kontaktieren Sie die Entwickler und fordern Sie mehr Informationen zu den Berechtigungen.

Über den Autor

Oliver Kunz

Oliver Kunz ist seit 2010 im Bereich der Informationssicherheit aktiv. Hauptsächlich setzt er sich mit Incident Response, Computerforensik und der Sicherheit von mobilen Geräten auseinander.

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

iOS Mobile Application Testing

iOS Mobile Application Testing

Ian Boschung

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv