Analyse von Sicherheitsforschenden ergab offenbar, dass eine Schwachstelle in Android hätte dazu führen können, dass Hersteller wie Samsung und Xiaomi personenbeziehbare Daten von Nutzer:innen auslesen. Dabei geht es um System-Apps der Handy-Hersteller, welche eine sogenannte „READ_LOGS“-Erlaubnis haben. Sie sammeln beispielsweise Telemetriedaten bei Abstützen und schicken sie zu Samsung und Xiaomi.
System-Apps: Privilegierte Apps von Samsung & Xiaomi
Eigentlich erhalten Anwendungen schon seit 2012 keinen lesenden Zugriff auf die Logdateien des Betriebssystems. Ausnahmen gibt es jedoch bei bestimmten „privilegierten“ System-Apps mit besagter „READ_LOGS“-Erlaubnis. Tatsächlich wird von der Möglichkeit, auf diese Weise Produkte zu verbessern bei Samsung und Co. auch Gebrauch gemacht.
Im Blog von AppCensus heißt es etwa, dass bei dem Samsung Galaxy A11 im Jahr 2020 ganze 131 privilegierte Apps vorinstalliert waren. 89 von ihnen hatten eine „READ_LOGS“-Erlaubnis. Bei dem neuen Xiaomi Redmi Note 9 waren waren es 77 Anwendungen, von denen 54 Zugriff auf Systemlogs hatten. Allerdings betont Autor Joel Reardon, dass es keinen Anschein auf Missbrauch gibt (via heise).
Das könnte problematisch sein
Die Analysen des Forschers zufolge landen auch Daten aus dem Bluetooth-basierten dezentralen Contact-Tracing von Android in den System-Logs. Eine Contact-Tracing-App ist zum Beispiel die deutsche Coroa-Warn-App.
„Unter Android schreibt das System die ‚Rolling Proximity Identifiers‘ (RPIs), also die gesendeten und empfangenen Beacons, in eine Syslog-Datei, wo sie von privilegierten Apps ausgelesen werden“, so heise. Allerdings ginge dies nur, wenn Nutzer:innen den lesenden Zugriff erlaubt hat. RPIs sind zwar zufällig aussehende Ziffernfolgen, die keinen direkten Bezug auf Personen aufweisen, „aber wenn man sie mit anderen Daten aus den Logfiles korreliert, könnte man diesen durchaus herstellen.“ Unter Umstände könnten sich Rückschlüsse auf den Gesundheitszustand (wie etwa eine Corona-Infektion) von einigen Nutzer:innen von Handys ziehen.
Gegenüber heise bestätigt Google-Sprecher Kay Oberbeck, dass Google darüber informiert wurde, dass Bluetooth-Kennungen vorübergehend für einige vorinstallierte System-Apps zu Debugging-Zwecken zugänglich waren. „Unmittelbar nachdem wir auf diesen Umstand aufmerksam gemacht wurden, haben wir mit der entsprechenden Überprüfung begonnen, Abhilfemaßnahmen erwogen und die Aktualisierung des Codes eingeleitet“, so der Google-Sprecher.
Das Problem sei mittlerweile behoben
Kay Oberbeck sagt, dass Google das Problem bereits behoben habe. Er betont, dass RPIs weder den Standort von Benutzer:innen noch andere identifizierende Informationen preisgeben würden. „Auch haben wir keinerlei Hinweis darauf, dass sie in irgendeiner Weise verwendet wurden, und auch nicht darauf, dass irgendeine App sich dessen überhaupt bewusst war.“
Weitere Nachrichten zu Apps
Nach einem Xiaomi-Update auf MIUI 12.5 ist es möglich, dass einige System-Apps deinstalliert werden können. Kürzlich wurde bekannt, dass Samsung sich der Sache animmt, dass Hintergrund-Apps geschlossen werden können. Außerdem veröffentlichte der Block CheckPoint vor kurzer Zeit, dass aus verschiedenen Anwendungen Malware-Gefahr ausgeht. Diese Android-Apps zu löschen, ist daher ratsam.