IzzyOnDroid Twitter


Say Thanks:
Flattr this!
↓ Your product here? ↓
Das Inoffizielle Android-HandbuchAndroid kennenlernen, Tipps & TricksDas Inoffizielle Android-Handbuch
Android kennenlernen, Tipps & Tricks
Für EUR 16,99 bei Amazon kaufen
Das Inoffizielle Android SystemhandbuchTiefer ins System einsteigenDas Inoffizielle Android Systemhandbuch
Tiefer ins System einsteigen
Für EUR 10,00 bei Amazon kaufen
Die besten Android-AppsDen Androiden austattenDie besten Android-Apps
Den Androiden austatten
Für EUR 10,00 bei Amazon kaufen
 
enhelp

Android Identifiers: Wie Android-Geräte und ihre Nutzer identifiziert werden

Dog Tags
Dog Tags, © Postdlf (CC BY-SA)
Quelle: Wikipedia

In App-Rezensionen und Sicherheits-Berichten werden sie regelmäßig erwähnt: Identitäts-Informationen, auf welche Apps zugreifen möchten. Kennungen, die ausgelesen sowie unter Umständen „irgend wo hin übertragen“ werden. Dabei fallen dann Begriffe wie etwa „Google Werbe-ID“ oder „Android ID“.

Was hat es mit diesen auf sich, und welche „Identifier“ gibt es eigentlich? Wofür sind sie originär gedacht – und wofür werden sie im Alltag, ggf. missbräuchlich, verwendet?

Hintergrund

Nicht nur Apps, auch viele Webseiten und Online-Dienste versuchen, ihre Nutzer zu erkennen (und wiederzuerkennen). Dafür kann es verschiedene Gründe geben, wie beispielsweise:

Der Erfassung dieser Daten hat der Anwender i. d. R. bei Installation der App über die Genehmigung der jeweiligen Zugriffsrechte (Permissions), oder bei Besuch einer Webseite über das Erfassen von Cookies zugestimmt. Den Wenigsten dürfte dabei jedoch klar (gewesen) sein, wie weitreichend die erfassten Informationen sind.

Es gibt zahlreiche derartige „Identifier“, die den Nutzer mehr oder weniger eindeutig „identifizieren“. Manche davon sind relativ unproblematisch – andere hingegen lassen weitreichende Rückschlüsse zu. Auf einige kann jede App oder Webseite zugreifen, andere wiederum sind durch ein Berechtigungssystem geschützt. Alle möglichen „Identifier“ aufzuführen und zu erklären, würde einen recht langen Artikel bedeuten. Ausgewählte Kandidaten sollen jedoch an dieser Stelle betrachtet werden.

Welche Identifier gibt es, und was ist ihr jeweiliger Zweck?

READ_PHONE_STATE
Was eine App ohne die Berechtigung READ_PHONE_STATE zu sehen bekommt

An welcher Berechtigung erkenne ich, dass eine App Zugriff auf diese ID hat?

In obiger Liste bereits mit aufgeführt, sei dies hier nochmals kurz zusammengefasst:

Mögliche Schutzmaßnahmen

Wie kann man sich gegen missbräuchliche Zugriffe auf die genannten Identifiers schützen?

Ohne root

… sind die Möglichkeiten, wie gewöhnlich, begrenzt. Das Naheliegenste ist natürlich, vor der Installation einen Blick auf die Berechtigungen zu werfen, die eine App verlangt. Der Google Play Store (und insbesondere die zugehörige App) machen dies nicht gerade einfach: Bei beiden sind die gewünschten Informationen gut versteckt. Einfacher (und vollständiger) geht dies etwa bei AppBrain – oder auch, sofern dort vorhanden, in den hiesigen App-Listen. Gehen dabei die Augenbrauen hoch, lässt man lieber die Finger von der App. Oder erkundigt sich zuvor in Bewertungen sowie Foren, was es mit den „ungewöhnlichen Berechtigungen“ auf sich hat.

Wie – zu spät? App bereits installiert? Nun, diese Kandidaten lassen sich mit einem Permission Checker abklopfen. Und im Anschluss gegebenenfalls deinstallieren, sowie durch eine geeignete Alternative ersetzen. Im Zweifelsfall konsultiert man auch hier einschlägige Foren, was es damit auf sich hat.

Vorbeugend kann man auch in den Entwickler-Einstellungen den Hostnamen auf etwas generischeres ändern – anbieten würde sich dafür etwa localhost. In Grenzen lassen sich ab Android 4.3 bis vor Android 6.0 mit AppOps FrontEnds bzw. ab Android 6.0 nativ Apps einzelne Berechtigungen wieder entziehen. Doch das ist eher eine Farce als eine wirkliche Hilfe, wie der Security-Experte Mike Kuketz feststellt4.

Gelegentlich hilft es auch, den Entwickler der betroffenen App zu kontaktieren. Dieser ist sich oftmals nicht bewusst, welch tiefe Eingriffe sich von ihm verwendete Werbe- und Analytics-Module5 gönnen – und daher nach Kenntnisnahme durchaus bereit, selbige durch etwas „harmloseres“ zu ersetzen.

Mit root

Xprivacy
Xprivacy: Zufallswerte

… ist schon wesentlich mehr möglich:

Weiterführendes

appsprivacy


  1. Für Details zur ADB sei auf den Artikel ADB für Anwender hier bei IzzyOnDroid verwiesen 

  2. Laut ArsTechnica ist der Zugriff für „normale Apps“ über die Permissions ACCESS_FINE_LOCATION resp. ACCESS_COARSE_LOCATION möglich. 

  3. Die Statistiken, wie viele Apps eine bestimmte Permission anfordern, beruhen auf der Analyse der über dreizehn tausend hier bei IzzyOnDroid gelisteten Apps, Stand 8/2016 

  4. Mike´s Blog ist auf Sicherheitsthemen fokussiert. In seinem Artikel Das Android Berechtigungsmodell: Ein perfides Konstrukt setzt er sich detailliert mit dem Android Berechtigungsmodell auseinander. Absolute Lese-Empfehlung! 

  5. So ist beispielsweise Flurry Analytics recht intrusiv, siehe App Analytics Raises Privacy Concerns 

  6. Zu Xprivacy und dem XPosed Framework, siehe auch den Artikel Xposed: Die mächtige Android-Toolbox hier bei IzzyOnDroid 

2016-08-21 (2016-09-12)