staging.inyokaproject.org

In einer Börsenmeldung der ARD vom 08.03.2011 mit dem Titel "Google auf dem Smartphone-Feldzug" wird berichtet, dass Google schadhafte Android-Apps ohne Einwilligung der Nutzer vom Smartphone löscht.

Wenn ich so etwas lese, stelle ich mir schon die Frage: Wie gut sind die Daten auf meinem Handy/Smartphone eigentlich geschützt?

Wenn der Zuwachs von Android als Betriebssystem weiter so rasant zunimmt (laut Meldung um knapp 10 Prozent in den letzten drei Monaten) ist es sicher nicht unwahrscheinlich dass Viren und Hackerangriffe künftig dem Google-OS im gleichen Umfang drohen wie derzeit noch Microsoft-Windows.

Bitte in den passenden Bereich verschieben, wenn es nicht der richtige ist.

Einfach nur vertrauenswürdige Software installieren und allzu wichtige Daten eben über den Desktop verwenden. Sehe da kein Problem, zumal das mobile Internet noch recht jung ist - somit auch die Entwicklung der entsprechenden Betriebssysteme und Software. Bei anständiger Nutzung sollte der User alles im Griff haben.

Ich sehe das nicht so locker und dass Google ungefragt Android-Apps löscht zeigt die Gefahr, die auch Google erkannt hat.

Ich habe nur ein Android-Tablet (ohne Telefonfunktion) und kein Android-Handy. Bei einem Android-Handy würde ich auf jeden Fall die 0900er-Nummern sperren lassen. Das kann sonst sehr schnell sehr teuer werden. Auch sollte man nicht einfach irgendwelche Apps installieren, sondern immer im Zweifel auf weit verbreitete Apps zurückgreifen. Bewertungen und Anzahl Downloads sind nicht unwichtig.

Wünschen würde ich mir wie im "normalen" Linux-Umfeld entsprechende Maintainer, die die Apps unabhängig betrachten. Premium-Apps könnten ja von einen entsprechenden unabhängigen Maintainer (gerne gegen Geld) betreut werden. Freie Apps würden vielleicht quersubventioniert. Google kann und soll die Überprüfung nicht übernehmen, dafür müsste die Community einstehen.

Zudem sollte es Sicherheitsapps geben (siehe z.B. http://www.enterproid.com ) wo man vielleicht die Installation nur von einigen speziellen Apps erlauben würde. Im Firmenumfeld wird das sehr schnell kommen (müssen). Sieht ja danach aus, dass selbst demnächst unsere Politiker eher auf Android als auf iOS setzen:

http://www.androidnews.de/merkel-phone-android

"vertrauenswürdige Software" ist so ne Sache... die Schadsoftware waren einfach Forks von ganz normalen Programmen, nur dass dort eben Malware als "Zusatzfeature" untergebracht war. Ich habe mir z.B. auch neulich erst ein Gitarren-Chord-App geladen, von welchem es gleichzeitig einen Fork mit Malware gab (ich habe zum Glück die Version vom Original-Entwickler geladen).

Und ganz ehrlich: wenn du eine bestimmte Funktionalität suchst (z.B. Gitarren-Chords, Task-Killer, GPS-Tracker, ...), googelst du dann bei jedem App, das in der näheren Auswahl ist, erst nach dem Autor? Wie mein Vorredner richtig sagte: Bekanntheit und Bewertung sind schonmal ein Indiz für "gute" Apps - aber wenn "gute" Apps genommen werden, um Malware unterzubringen, aber die Apps sonst weiterhin super funktionieren, bekommen sie zumindestens ebenfalls gute Bewertungen...

Da die Apps ganz normal ihre Arbeit verrichten und nur als "Zusatz-Feature" das Handy ausspionieren, bekommt ein normaler Nutzer, wenn er nicht gerade sämtliche Android-News liest, gar nicht mit, dass er Malware am Laufen hat.

Von daher kann ich in diesem speziellen Fall das Löschen seitens Google gut verstehen. Auch wenn die technische Möglichkeit, dass Google ungefragt Daten auf meinem Handy manipulieren kann, an sich nen verdammt bitteren Beigeschmack hat, so ist sie in diesem Fall doch mal richtig nützlich.

Da ich nicht betroffen war, kann ich natürlich nicht sagen, wie genau Google damit umgegangen ist - am nutzerfreundlichsten wäre hier natürlich wenigstens eine Benachrichtigung, dass eine App auf Grund von Malware gelöscht wurde - besser noch eine Meldung "Die Anwendung 'XYZ' wurde von Ihrem Smartphone entfernt, da es sich um einen mit Schadsoftware versehenen Fork handelte, die Original-Software ohne eingeschleuster Malware finden Sie im Market unter 'ABC'."

Ich wäre auch für eine Art Community-based-Approval oder so - der Code, der in den Market will muss erst von der Community reviewt werden und da gibt es sicherlich welche, die sagen "Hey, das Programm sieht doch genauso aus wie XYZ, das nächste Programm von diesem User sieht ebenfalls aus wie ein schon bekanntes - hier müssen wir mal genauer schauen."

Die Informationspolitik (vor allem von Google) könnte besser sein. Das Löschen selbst finde ich jedoch vollkommen in Ordnung.

Am besten wäre wohl eine Abfrage ob man die Schadsoftware deinstallieren will, wobei natürlich das Feld "Nein" ausgegraut und damit nicht auswählbar ist.

beavisbee schrieb:

"vertrauenswürdige Software" ist so ne Sache... (ich habe zum Glück die Version vom Original-Entwickler geladen).

Sollte kein Glück sein...

beavisbee schrieb:

Und ganz ehrlich: wenn du eine bestimmte Funktionalität suchst (z.B. Gitarren-Chords, Task-Killer, GPS-Tracker, ...), googelst du dann bei jedem App, das in der näheren Auswahl ist, erst nach dem Autor?

... weil ich genau das mache. Mir nur Software von vertrauenswürdigen Quellen zu installieren. Das mache ich in der Regel dann auch durchaus am Desktop. Allerdings installiere ich auch nur nützliche Software, keine Spielereien.

beavisbee schrieb:

Von daher kann ich in diesem speziellen Fall das Löschen seitens Google gut verstehen. Auch wenn die technische Möglichkeit, dass Google ungefragt Daten auf meinem Handy manipulieren kann, an sich nen verdammt bitteren Beigeschmack hat, so ist sie in diesem Fall doch mal richtig nützlich.

Ist wohl nur der Vorgeschmack auf CloudComputing. Habe damit auch kein Problem, da es bei bekannten Herstellern wohl nicht vorkommen sollte, und nur solche installiere ich persönlich. Außerdem zeigt es eher, dass Google sich darum kümmert und sich solcher Probleme annimmt. Dann brauche ich mich nicht darum sorgen.

pantherFFM schrieb:

... weil ich genau das mache. Mir nur Software von vertrauenswürdigen Quellen zu installieren. Das mache ich in der Regel dann auch durchaus am Desktop. Allerdings installiere ich auch nur nützliche Software, keine Spielereien.

dann bist du einer der wenigen User, die paranoid genug sind, um sich vor solchen infizierten Apps richtig gut zu schützen...

mir ging es z.B. erst diese Woche so, dass ich mein Fahrrad wiederbelebt habe und damit zur Arbeit gefahren bin (und vorher mir eine Handy-Halterung ans Fahrrad gebaut habe ☺ ) ... und unterwegs ist mir eingefallen "seit dem ich das Android 2.2 Custom Rom installiert habe, habe ich noch gar kein GPS-Tacho-App drauf" - also an die Seite ran gefahren, App gesucht, installiert und mit Tacho weitergefahren... Und ich möchte behaupten, so geht es vielen Usern: Apps werden dann erst installiert, wenn sie gerade gebraucht werden...

Und ich denke, dies ist ein Trend, der im immer bedeutender werdenden mobilen Internet immer weiter zu nimmt: der Kunde wird mit seinen Wünschen dort abgeholt, wo er gerade ist.

und somit ist die Tatsache, dass Apps ohne jeglichen Code-Review in den Market kommen können, wohl die größte "SocialEngineering-Schwachstelle"...

Mir nur Software von vertrauenswürdigen Quellen zu installieren. Das mache ich in der Regel dann auch durchaus am Desktop.

Solange man bei Ubuntu aus den Paketquellen installiert braucht man sich wirklich keine großen Gedanken machen. Bei Windows sollte man die exe-Datei auch direkt beim Hersteller und nicht sonstwo ziehen. Gerne wird per Google gesucht und dann der Download beim Anbieter des Werbung-Links (erster Eintrag) genutzt. Dann braucht man sich über die enthaltenen Viren und Trojaner nicht mehr wundern. Da hilft nur Brain 2.0

Ist wohl nur der Vorgeschmack auf CloudComputing.

Der ganze Begriff CloudComputing wird vollkommen überstrapziert. Im Prinzip ist der Android-Appstore auch nichts anderes als für Windows ein http://download.cnet.com . Mit CloudComputing hat beides nicht viel zutun. Ich denke der Android-Store ist nur etwas sicherer, da hoffentlich Android irgendwelche Checksummen nutzt und angeblich seine Entwickler kennt. Weiß da jemand was zu?

uname schrieb:

Ist wohl nur der Vorgeschmack auf CloudComputing.

Der ganze Begriff CloudComputing wird vollkommen überstrapziert. Im Prinzip ist der Android-Appstore auch nichts anderes als für Windows ein http://download.cnet.com . Mit CloudComputing hat beides nicht viel zutun. Ich denke der Android-Store ist nur etwas sicherer, da hoffentlich Android irgendwelche Checksummen nutzt und angeblich seine Entwickler kennt. Weiß da jemand was zu?

Das war speziell auf das Löschen der Software bezogen, dass Google per Fernsteuerung Zugriff hat.

Was das 'paranoid' angeht 😉 Ich nutze mein Handy sowohl Privat als auch Beruflich und habe dementsprechend sensible Daten. Allerdings nicht hochsensibel. Trotz meiner Vorsicht nutze ich auch kein mobiles Internetbanking, auch nicht mit der offiziellen App. Wer auf seinem Smartphone keine sensiblen Daten nutzt, kann durchaus auch mal drauf los installieren und die vielen Tools nutzen und Spaß damit haben.

uphill schrieb:

Wenn ich so etwas lese, stelle ich mir schon die Frage: Wie gut sind die Daten auf meinem Handy/Smartphone eigentlich geschützt?

Ich glaube nicht das diese Frage für Smartphone-Benutzer eine hohe Priorität hat. Man kauft es ja aufgrund der Offenheit und nicht des Datenschutzes wegen. Das wird einem auch in den Nutzungsbedingungen unmissverständlich klar gemacht. Guter Schutz bieten eigentlich nur Systeme die so gut wie keine Konnektivität nach außen hin besitzen.

Zinni schrieb:

uphill schrieb:

Wenn ich so etwas lese, stelle ich mir schon die Frage: Wie gut sind die Daten auf meinem Handy/Smartphone eigentlich geschützt?

Ich glaube nicht das diese Frage für Smartphone-Benutzer eine hohe Priorität hat. Man kauft es ja aufgrund der Offenheit und nicht des Datenschutzes wegen. Das wird einem auch in den Nutzungsbedingungen unmissverständlich klar gemacht. Guter Schutz bieten eigentlich nur Systeme die so gut wie keine Konnektivität nach außen hin besitzen.

Ja und welche, die man nicht so schnell verlieren kann 😉

Es ist immer wieder lustig, wie solche Dinge "bewertet" werden.
Bei $ANDEREN Anbietern wäre hier die Hölle los, was sich solche Firmen erlauben. 😈

Zum Thema: Das ist unter aller Kanone von Google! Ohne entsprechende Warnung/Abfrage ist das für mich ein NoGo. Egal ob das eine schadhafte oder sonstwas App war. Google unterliegt dem US-Recht. Löschen die dann auch auf Druck der Regierung irgendwann mal weltweit "unerlaubte" Verschlüsselungs-Apps? Ich mein ja nur...diese Frage erscheint mir hier bei Weitem zu leicht genommen und die (heimlichen) Möglichkeiten unterschätzt. 😉

Es steht klipp und klar in den Nutzungsbedingungen, dass Google technisch die Möglichkeit hat Apps zu installieren und löschen.

TheDarkRose schrieb:

Es steht klipp und klar in den Nutzungsbedingungen, dass Google technisch die Möglichkeit hat Apps zu installieren und löschen.

Der einzelne Nutzer wird diese Kröte wohl schlucken müssen. ☹ Wie bei Microsoft auch... Da steht vielleicht auch irgendwas von nachhause Telefonieren in den ellenlangen Lizenz-Nutzungsbedingungen, die kein Mensch liest... 😉

Die Sicherheit des Systems ist schon wichtig. Aber nachfragen sollte das System schon. Und vielleicht ein paar Sicherheits-Apps.

yollywau schrieb:

Die Sicherheit des Systems ist schon wichtig. Aber nachfragen sollte das System schon. Und vielleicht ein paar Sicherheits-Apps.

Und Du schaust auch andauernd auf Dein Handy, dass Du solche Nachfragen vom System dann auch siehst? Ich finde es ok, wenn Google sich um solche Dinge kümmert und ich nicht zusätzlich auch noch mein Handy absichern muss vor Malware. Und bei der Aktualisierung des Markets (welches auch im Hintergrund passiert) schreit natürlich keiner auf, da ist es ja ok wenn Bugs automatisch gefixt werden. 🙄

Von daher mach ich da jetzt keine große Glocke draus, Android ist mittlerweile so verbreitet, dass es für solche Angriffe attraktiv wird. Google kümmert sich um die Bereinigung im Falle eines Befalles und die Leute schreien auf. Wollt ihr Malware auf dem Smartphone, welches eure Daten sammelt?

DeJe schrieb:

Das ist unter aller Kanone von Google! Ohne entsprechende Warnung/Abfrage ist das für mich ein NoGo. Egal ob das eine schadhafte oder sonstwas App war. Google unterliegt dem US-Recht. Löschen die dann auch auf Druck der Regierung irgendwann mal weltweit "unerlaubte" Verschlüsselungs-Apps? Ich mein ja nur...diese Frage erscheint mir hier bei Weitem zu leicht genommen und die (heimlichen) Möglichkeiten unterschätzt. 😉

Hast Du vergessen Deinen Aluhelm aufzusetzen? 😈