Android-Sicherheit erhöhen
App-Rechte beschränken
Android-Apps fordern zum Teil umfangreiche Zugriffsrechte aufs System ein. Und zwar oft auch solche, die für ihre eigentliche Aufgabe nicht nötig erscheinen. Das weckt Misstrauen. Normalerweise hat der Nutzer nur die Wahl, alle von der App gewünschten Rechte zu gewähren oder die Installation abzubrechen. Wir zeigen, mit welchen Tricks Sie gezielt einzelne App-Rechte beschränken beziehungsweise einschränken.
Warum braucht eine Taschenrechner-App Zugriff auf Ihre Standortdaten? Welchen Sinn hat es, wenn eine Kamera-App auf Ihr Adressbuch zugreifen darf? Wieso braucht ein Taschenlampen-App Internet-Zugriff? App-Entwickler fordern für ihre Android-Apps oft Rechte ein, die sie für ihre eigentlichen Aufgaben gar nicht benötigen, sondern nur dafür, Daten zu Marketing-Zwecken zu sammeln. Mehrfach sind auch schon Apps in den Android-Market „Google Play“ gelangt, die sich als regelrechte Schadsoftware entpuppt und zum Beispiel über den Versand von Premium-SMS hohe Kosten verursacht haben.
Bevor eine App installiert wird, erhält der Benutzer eine Übersicht über die eingeforderten Rechte. Er hat aber nur die Wahl, entweder alle eingeforderten Rechte zu gewähren oder auf die App zu verzichten. Die Möglichkeit, nur einzelne Rechte zu gewähren, bietet Android nicht. Mit einem Griff in die Trickkiste ist das dennoch möglich.
Rechte einschränken: Installations-Definitionen von Apps ändern
Welche Rechte eine App einfordert, legt der Autor in einer Definitions-Datei fest, der AndroidManifest.xml. Der Trick, die Rechte einzuschränken besteht darin, diese Datei zu bearbeiten. Sie befindet sich im Installations-Paket der App mit der Endung APK. Auf normalem Weg kommen Sie an die APK-Datei nicht heran, denn die Android-Market-Anwendung beziehungsweise Google-Play-Anwendung lädt sie im Hintergrund herunter, entpackt sie und startet sofort die Installation. Das Installationspaket liegt anschließend im Verzeichnis „./data/app“, in das Sie ohne Rooting des Smartphones nicht ohne weiteres herankommen. Es gibt aber eine Reihe von Apps, die dieses Problem lösen. Zum Beispiel „Airdroid“. Mit Airdroid greifen Sie vom PC aus per WLAN auf Ihr Smartphone zu und können Daten und Apps hin- und herkopieren.
In der folgenden Bildergalerie erklären wir Schritt für Schritt das genaue Vorgehen, um die Rechte einer App zu beschränken:
App-Berechtigungen einschränken
WLAN aktivieren
Schritt 1: Aktivieren Sie WLAN auf Ihrem Smartphone.
Schritt 1: Aktivieren Sie WLAN auf Ihrem Smartphone.
Airdroid installieren
Schritt 2: Installieren Sie Airdroid.
Schritt 2: Installieren Sie Airdroid.
Gewünschte App installieren, aber nicht starten
Schritt 3: Installieren Sie die gewünschte App. Sie können sie zwar anschließend starten, aber wir raten davon ab, da sie sich ansonsten ja bereits einmal gemäß der vom App-Entwickler festgelegten Zugriffsrechte auf dem Smartphone „austoben“ könnte.
Schritt 3: Installieren Sie die gewünschte App. Sie können sie zwar anschließend starten, aber wir raten davon ab, da sie sich ansonsten ja bereits einmal gemäß der vom App-Entwickler festgelegten Zugriffsrechte auf dem Smartphone „austoben“ könnte.
Airdroid starten
Schritt 4: Starten Sie Airdroid.
Schritt 4: Starten Sie Airdroid.
Vom PC aus auf Airdroid zugreifen
Schritt 5: Geben Sie im Web-Browser auf dem PC die von AirDroid angezeigte Adresse und im Anschluss das angezeigte Passwort ein. Damit die Verbindung klappt, müssen PC und Smartphone mit dem gleichen lokalen (Heim-)Netz verbunden sein.
Schritt 5: Geben Sie im Web-Browser auf dem PC die von AirDroid angezeigte Adresse und im Anschluss das angezeigte Passwort ein. Damit die Verbindung klappt, müssen PC und Smartphone mit dem gleichen lokalen (Heim-)Netz verbunden sein.
App-Installationspaket (APK) auf den PC herunterladen
Schritt 6: Klicken Sie in der Airdroid-Oberfläche im Web-Browser auf „Apps“. Bewegen Sie den Mauszeiger auf die App, deren APK-Datei Sie herunterladen wollen und klicken Sie rechts auf „Download“. Speichern Sie die APK-Datei auf Ihrem PC.
Schritt 6: Klicken Sie in der Airdroid-Oberfläche im Web-Browser auf „Apps“. Bewegen Sie den Mauszeiger auf die App, deren APK-Datei Sie herunterladen wollen und klicken Sie rechts auf „Download“. Speichern Sie die APK-Datei auf Ihrem PC.
App de-installieren
Schritt 7: De-Installieren Sie die App, die Sie in Schritt 3 installiert haben. Das geht auch ganz bequem über Airdroid, indem Sie auf „Uninstall“ (rechts neben „Download) klicken.
Schritt 7: De-Installieren Sie die App, die Sie in Schritt 3 installiert haben. Das geht auch ganz bequem über Airdroid, indem Sie auf „Uninstall“ (rechts neben „Download) klicken.
APK Edit auf den PC herunterladen
Schritt 8: Laden Sie das Tool APK Edit auf den PC herunter. Es setzt Java und das Microsoft .Net Framework ab Version 3.5 voraus.
Schritt 8: Laden Sie das Tool APK Edit auf den PC herunter. Es setzt Java und das Microsoft .Net Framework ab Version 3.5 voraus.
APK Edit starten
Schritt 9: Entpacken und starten Sie APK Edit. Wenn Sie nach dem Java-Pfad gefragt werden, navigieren Sie in dem Datei-Auswahlfeld zum Ordner \Programme\Java\jre7\bin\ beziehungsweise \Programme (x86)\Java\jre7\bin\ und doppelklicken Sie die Datei java.exe.
Schritt 9: Entpacken und starten Sie APK Edit. Wenn Sie nach dem Java-Pfad gefragt werden, navigieren Sie in dem Datei-Auswahlfeld zum Ordner \Programme\Java\jre7\bin\ beziehungsweise \Programme (x86)\Java\jre7\bin\ und doppelklicken Sie die Datei java.exe.
APK-Datei öffnen
Schritt 10: Im Datei-öffnen-Dialog, bei dem rechts unten als Dateityp „Android package files (*.apk)“ ausgewählt ist, navigieren Sie zu dem Ordner, in den Sie in Schritt 6 die APK-Datei heruntergeladen haben und klicken Sie sie doppelt an.
Schritt 10: Im Datei-öffnen-Dialog, bei dem rechts unten als Dateityp „Android package files (*.apk)“ ausgewählt ist, navigieren Sie zu dem Ordner, in den Sie in Schritt 6 die APK-Datei heruntergeladen haben und klicken Sie sie doppelt an.
AndroidManifest.xml öffnen
Schritt 11: Wechseln Sie in APK Edit auf den Reiter „Details“ und klicken Sie rechts unten auf den Link „Browse“, sobald er blau unterlegt erscheint. Öffnen Sie die Datei AndroidManifest.xml in einem Editor.
Schritt 11: Wechseln Sie in APK Edit auf den Reiter „Details“ und klicken Sie rechts unten auf den Link „Browse“, sobald er blau unterlegt erscheint. Öffnen Sie die Datei AndroidManifest.xml in einem Editor.
AndroidManifest.xml bearbeiten
Schritt 12: In den Zeilen, die mit „“ legt zum Beispiel fest, dass die App aufs Internet zugreifen können soll. Welche Begriffe welchen Rechten entsprechen, erfahren Sie über den unten angegebenen Link. Um der App einzelne Rechte zu entziehen, löschen Sie die betreffenden Zeilen. Speichern Sie anschließend die AndroidManifest.xml.
Schritt 12: In den Zeilen, die mit „“ legt zum Beispiel fest, dass die App aufs Internet zugreifen können soll. Welche Begriffe welchen Rechten entsprechen, erfahren Sie über den unten angegebenen Link. Um der App einzelne Rechte zu entziehen, löschen Sie die betreffenden Zeilen. Speichern Sie anschließend die AndroidManifest.xml.
APK-Datei speichern
Schritt 13: Klicken Sie in APK Edit auf „OK“. Das Tool speichert die Änderungen und beendet sich danach automatisch selbst.
Schritt 13: Klicken Sie in APK Edit auf „OK“. Das Tool speichert die Änderungen und beendet sich danach automatisch selbst.
APK-Datei auf dem Smartphone installieren
Schritt 14: Wechseln Sie zurück in den Browser, in dem die Oberfläche von Airdroid geöffnet ist, klicken Sie in der Rubrik „Apps“ auf „Install App“ und navigieren Sie im Datei-hochladen-Dialog zu dem Ordner, in dem die soeben bearbeitete APK-Datei liegt und klicken Sie sie doppelt an. Auf dem Smartphone müssen Sie die Installation zusammen mit den (von Ihnen verringerten) Zugriffsrechten noch bestätigen. Fertig! Bitte beachten Sie aber noch die Hinweise unter dem nächsten Bild.
Schritt 14: Wechseln Sie zurück in den Browser, in dem die Oberfläche von Airdroid geöffnet ist, klicken Sie in der Rubrik „Apps“ auf „Install App“ und navigieren Sie im Datei-hochladen-Dialog zu dem Ordner, in dem die soeben bearbeitete APK-Datei liegt und klicken Sie sie doppelt an. Auf dem Smartphone müssen Sie die Installation zusammen mit den (von Ihnen verringerten) Zugriffsrechten noch bestätigen. Fertig! Bitte beachten Sie aber noch die Hinweise unter dem nächsten Bild.
Hinweis 1: Möglich ist die diese Vorgehensweise immer, ob sie rechtlich zulässig ist, hängt aber vom Einzelfall ab: Mit dem Download aus dem Play Store erhalten Sie gewöhnlich nur das Recht, die App zu nutzen, nicht aber, ihren Code zu verändern. Anders sieht das aus, wenn die App unter einer Open-Source-Lizenz wie GPL oder Apache 2 vertrieben wird. In dem Fall können Sie bedenkenlos die AndroidManifest.xml verändern.
Hinweis 2: Sollten Sie einer App ein essentielles Recht entzogen haben, also eins, das für die korrekte Funktionalität zwingend nötig ist, kann es sein, dass sie abstürzt oder instabil läuft. In dem Fall sollten Sie die Prozedur so lange wiederholen und in Schritt 12 variieren, bis Sie einen guten Kompromiss zwischen Sicherheit und Funktionalität gefunden haben.
Alternative 1: App-Überwachung mit SRT App Guard
Eine Alternative zu der zuvor beschriebenen manuellen Methode ist „SRT AppGuard“. Diese App überwacht die Aktivitäten anderer Apps und ermöglicht es, ihnen Rechte zu entziehen. Da das ohne Root-Rechte nicht ohne weiteres funktioniert, nutzt SRT AppGuard einen Umweg: Es deinstalliert die gewünschte App, modifiziert sie so, dass sie die Kontrolle darüber übernehmen kann und installiert sie erneut. Das alles geschieht weitgehend im Hintergrund. Sie als Anwender müssen allerdings die einzelnen Schritte jeweils bestätigen.
SRT AppGuard hat allerdings ein paar Haken und Ösen. Zunächst einmal läuft die App derzeit nur unter Android ab Version 3.0. Da Google SRT AppGuard aus seinem Play Store verbannt hat, erhalten Sie die App zudem nur über die Website des Entwicklers. Rufen Sie also die Web-Seite www.backes-srt.de/produkte/srt-appguard/ im Android-Browser auf und klicken Sie auf den Link „Download der appguard.apk“.
Nachdem der Download fertig gestellt ist, wechseln Sie zu den Android-Einstellungen in den Bereich „Sicherheit“ und aktivieren Sie „Unbekannte Herkunft - Installation von Nicht-Market-Apps zulassen“. Dann starten Sie eine Dateimanager-App (zum Beispiel „ES Datei Explorer“), navigieren Sie zum Ordner „Download“ und tippen Sie die heruntergeladene Datei „appguard-mobile.apk“ an.
Die Bedienung von SRT Appguard erklären wir Ihnen in folgender Galerie:
App-Rechte einschränken mit SRT AppGuard
Schritt 1: Einzuschränkende App auswählen
Nachdem Sie SRT Appguard gestartet haben, wechseln Sie zum Menüpunkt „Neue App überwachen“ und tippen in der Liste die App an, der Sie Rechte entziehen möchten. Bestätigen Sie den Hinweistext von AppGuard mit „OK“. Daraufhin sehen Sie die Statusmeldung „Scannen der Anwendung“. Dieser Vorgang kann schnell gehen, aber auch mehrere Minuten dauern. Verlieren Sie daher nicht die Geduld.
Nachdem Sie SRT Appguard gestartet haben, wechseln Sie zum Menüpunkt „Neue App überwachen“ und tippen in der Liste die App an, der Sie Rechte entziehen möchten. Bestätigen Sie den Hinweistext von AppGuard mit „OK“. Daraufhin sehen Sie die Statusmeldung „Scannen der Anwendung“. Dieser Vorgang kann schnell gehen, aber auch mehrere Minuten dauern. Verlieren Sie daher nicht die Geduld.
Schritt 2: Einzuschränkende App deinstallieren
Als nächstes bestätigen Sie den Schritt „Diese App wird deinstalliert“ mit „OK“. Beachten Sie, dass dabei die Einstellungen, die Sie an der App vorgenommen haben und Daten, die Sie darin eventuell hinterlegt haben, verloren gehen. Den Hinweis „Deinstallation abgeschlossen“ bestätigen Sie ebenfalls mit „OK“.
Als nächstes bestätigen Sie den Schritt „Diese App wird deinstalliert“ mit „OK“. Beachten Sie, dass dabei die Einstellungen, die Sie an der App vorgenommen haben und Daten, die Sie darin eventuell hinterlegt haben, verloren gehen. Den Hinweis „Deinstallation abgeschlossen“ bestätigen Sie ebenfalls mit „OK“.
Schritt 3: Modifizierte App installieren
Nun erscheint die Installationsaufforderung für die von AppGuard modifizierte App. Sie besitzt zunächst noch die originalen Berechtigungen, die Ihnen auch zur Bestätigung angezeigt werden. Tippen Sie „Installieren“ an. Nach erfolgter Installation wählen Sie aber nicht „Öffnen“, sondern „Fertig“.
Nun erscheint die Installationsaufforderung für die von AppGuard modifizierte App. Sie besitzt zunächst noch die originalen Berechtigungen, die Ihnen auch zur Bestätigung angezeigt werden. Tippen Sie „Installieren“ an. Nach erfolgter Installation wählen Sie aber nicht „Öffnen“, sondern „Fertig“.
Schritt 4: Berechtigungen festlegen
Sie gelangen zurück zu AppGuard, bestätigen die erfolgreiche Installation mit „OK“ und kommen zur Konfiguration der Berechtigungen. Sie können nun der App einzelne Rechte entziehen, indem Sie auf das jeweilige Kontrollkästchen tippen und damit den Haken entfernen. Berechtigungen, die sich nicht entfernen lassen, erscheinen ausgegraut. Die Änderungen werden sofort gespeichert, sie können im Anschluss also einfach über die Home-Taste zurück zum Android-Startbildschirm springen und die modifizierte App starten, um zu testen, ob sie wie gewünscht funktioniert. Falls sie das nicht tut, öffnen Sie SRT AppGuard, wechseln Sie in den Bereich „Überwachte Apps verwalten“, tippen Sie die betreffende App an und geben Sie ihr Schritt für Schritt mehr Berechtigungen, bis sie problemlos läuft.
Sie gelangen zurück zu AppGuard, bestätigen die erfolgreiche Installation mit „OK“ und kommen zur Konfiguration der Berechtigungen. Sie können nun der App einzelne Rechte entziehen, indem Sie auf das jeweilige Kontrollkästchen tippen und damit den Haken entfernen. Berechtigungen, die sich nicht entfernen lassen, erscheinen ausgegraut. Die Änderungen werden sofort gespeichert, sie können im Anschluss also einfach über die Home-Taste zurück zum Android-Startbildschirm springen und die modifizierte App starten, um zu testen, ob sie wie gewünscht funktioniert. Falls sie das nicht tut, öffnen Sie SRT AppGuard, wechseln Sie in den Bereich „Überwachte Apps verwalten“, tippen Sie die betreffende App an und geben Sie ihr Schritt für Schritt mehr Berechtigungen, bis sie problemlos läuft.
Hinweis bei neuen Apps
Wenn Sie eine neue App aus dem Play Store installieren, erscheint danach in der Benachrichtigungsleiste eine AppGuard-Meldung. Wenn Sie diese antippen, landen Sie direkt im ersten Schritt der App-Modifikation.
Wenn Sie eine neue App aus dem Play Store installieren, erscheint danach in der Benachrichtigungsleiste eine AppGuard-Meldung. Wenn Sie diese antippen, landen Sie direkt im ersten Schritt der App-Modifikation.
Zugriffs-Protokoll einsehen
Nachdem Sie eine modifizierte App einige Zeit benutzt haben, lohnt es sich in jedem Fall, den Punkt „Überwachte Apps verwalten“ in SRT AppGuard anzusteuern, den App-Eintrag anzutippen und rechts oben „Log“ anzutippen. Dann erhalten Sie ein Protokoll, dem Sie entnehmen können, auf welche sicherheitskritische Bereiche des Smartphones die App erfolgreich (grüner Haken) oder erfolglos (roter Kreis mit weißem Kreuz) zugegriffen hat.
Nachdem Sie eine modifizierte App einige Zeit benutzt haben, lohnt es sich in jedem Fall, den Punkt „Überwachte Apps verwalten“ in SRT AppGuard anzusteuern, den App-Eintrag anzutippen und rechts oben „Log“ anzutippen. Dann erhalten Sie ein Protokoll, dem Sie entnehmen können, auf welche sicherheitskritische Bereiche des Smartphones die App erfolgreich (grüner Haken) oder erfolglos (roter Kreis mit weißem Kreuz) zugegriffen hat.
Hinweis zu App-Updates
Wichtig zu wissen: Für die modifizierten Apps erhalten Sie in der Regel keine automatischen Updates. Auch AppGuard selbst aktualisiert sich nicht selbsttätig. Schauen Sie also regelmäßig auf der Website des Entwicklers vorbei und und installieren Sie eventuelle Updates manuell.
Wichtig zu wissen: Für die modifizierten Apps erhalten Sie in der Regel keine automatischen Updates. Auch AppGuard selbst aktualisiert sich nicht selbsttätig. Schauen Sie also regelmäßig auf der Website des Entwicklers vorbei und und installieren Sie eventuelle Updates manuell.
Hinweis zu vorinstallierten Apps
Manche Apps lassen sich mit SRT AppGuard nicht modifizieren. Das merken die daran, dass im dritten Schritt der Hinweis „Scannen der Anwendung“ nur ganz kurz aufblitzt und nichts weiter passiert. Generell nicht veränderbar sind Apps, die vom Hersteller auf dem Smartphone vorinstalliert sind. Sie tauchen in der App-Liste von SRT AppGuard deshalb auch gar nicht erst auf.
Manche Apps lassen sich mit SRT AppGuard nicht modifizieren. Das merken die daran, dass im dritten Schritt der Hinweis „Scannen der Anwendung“ nur ganz kurz aufblitzt und nichts weiter passiert. Generell nicht veränderbar sind Apps, die vom Hersteller auf dem Smartphone vorinstalliert sind. Sie tauchen in der App-Liste von SRT AppGuard deshalb auch gar nicht erst auf.
Alternative 2: LBE Privacy Guard beschränkt einzelne Rechte
Das folgende Verfahren zum Einschränken von App-Rechten ist wesentlich einfacher und unproblematischer. Der Nachteil ist, dass es nur bei gerooteten Android-Geräten funktioniert. Root-Berechtigungen ermöglichen tief gehende Eingriffe ins System, weshalb das Rooten, prinzipiell gesehen, die Sicherheit zunächst vermindert. Eine App wie „SuperUser“ (die beim Rooten meist gleich mit installiert wird) ermöglicht es aber, Root-Rechte gezielt nur einzelnen, vertrauenswürdigen Apps zuzuweisen.
Eine solche App ist LBE Privacy Guard, die ein detailliertes Rechte-Management mit einer Internet-Firewall kombiniert. Besonders praktisch: Mit dem LBE Privacy Guard können Sie nicht nur App für App in den Berechtigungen einschränken, sondern sich auch alle bereits installierten Apps anzeigen lassen, die besonders heikle Rechte besitzen, zum Beispiel den Zugriff auf die Kontaktliste, die aktuellen Standort-Daten oder die Möglichkeit, SMS zu versenden. Über einfaches Antippen können Sie Apps Rechte entziehen.
Fazit
Das erste beschriebene Verfahren, um Apps in ihren Rechten zu beschränken - die Änderung der Installations-Definition AndroidManifest.xml - ist ziemlich umständlich und etwas kompliziert. Zudem müssen Sie auf automatische App-Updates verzichten und verstoßen gegebenenfalls gegen die Lizenzbedingungen einzelner Apps. Dafür ist für die Methode kein Rooting erforderlich.
Die zweite Variante - die Verwendung von SRT AppGuard deutlich weniger umständlich und auch für Einsteiger machbar. Auch hier funktionieren App-Updates in der Regel nicht.
LBE Privacy Guard – ist zweifellos einfacher und eleganter. Sie hat aber den erheblichen Nachteil, dass mit dem Rooten zuvor ein Eingriff in das Android-System erforderlich ist, der spätere Gewährleistungsansprüche gefährdet und selbst nicht ganz risikolos ist.
Übrigens: Wenn Sie auch mobil bequemen Zugriff auf die neuesten Ratgeber, Tests, Technik-News und Videos haben möchten, empfehlen wir Ihnen unsere mobile Website und unsere App für Android und fürs iPhone. Falls Sie sich ausschließlich für Android-Smartphones und Android-Themen interessieren, ist unsere AndroidWelt-App das Richtige für Sie.
16.05.12
Wie haltet Ihr es mit dem Thema "App-Zugriffsrechte"? Ist es Euch egal, auf welche Daten des Smartphones (Adressbuch, Seriennummer des Geräts, eigene Telefonnummer, Standortdaten etc.) eine App zugreifen darf? Habt Ihr schon einmal eine App deswegen nicht installiert, weil sie zu weitgehende Rechte einfordert?
Antwort schreiben
13.09.12
Hallo und guten Abend Daniel Behrens,
vielen Dank für Ihre Anfrage. Mich beschäftigt dieses Thema schon seit
Anfang des Jahres 2012.
Es fing damit an, dass ich erstmals ein Androide-Smartphone zur Nutzung
zur Verfügung bekam.
Die Zugriffsrechte der Apps waren für mich nicht nachvollziehbar, sodass
ich das Smartphone erst einmal gar nicht nutzte, dann nur ohne SIM-Card.
Durch die Berichterstattung der Stiftung Warentest wurden mir meine
Bedenken bestätigt. Zur Zeit suche ich nach Möglichkeiten, der App von
Facebook, Zugriffsrechte zu entziehen bzw. die App zu deinstallieren.
Es ist für mich erschreckend, wie sehr die NutzerInnen über verdeckte
Funktionen der Apps und Geräte im Unklaren gelassen werden. Für die
Zukunft fordere ich eine Art Label für "datenklaufreie" Apps und zumindest
die Möglichkeit der Kontrolle über das Gerät, was mir nutzen und nicht
mich ausspionieren soll.
Mit besten Grüßen
spontan
Antwort schreiben
14.09.12
Nur diese Smartphonekiddies wissen das nicht....................
Antwort schreiben