Android – von dubiosen Geschaeftsfeldern

Eine Plattform ist dann bei der breiten Masse angekommen, wenn sich Spammer und Virenautoren damit beschaeftigen oder andere dubiose Geschaeftsfelder gesucht werden. Bei Android ist es langsam aber sicher so weit, dass vermehrt Apps auftauchen, die Malware, Spyware, usw. enthalten.

Ein paar Beispiele gefaellig? Fangen wir an mit Airpush.
Airpush bietet dem Entwickler einer Android-App ein Framework an, welches dafuer verantwortlich ist, dass der Nutzer der App spaeter Werbung angzeigt bekommt. Dabei gibt es unterschiedliche Methoden, die mehr oder weniger penetrant sind. Am Schlimmsten finde ich persoenlich die Variante, die dem Nutzer Werbung in der Info-Schublade (oder Notification-Area) anzeigt. Das Problem hierbei ist, dass nicht auszumachen ist von welcher App diese Werbung stammt, so dass sich im Netz zahllose Threads auf unterschiedlichen Foren damit beschaeftigen die Quelle des Uebels auszumachen.
Abhilfe schafft hier die App Airpush Detector. Diese listet auf, welche Apps von dem Framework Gebrauch machen. Der Nutzer kann daraufhin diese Apps deinstallieren und die verantwortlichen Apps so loswerden.

Abgesehen davon, dass ich jeden Entwickler der von solchen Tools Gebrauch macht am liebsten vom Android Market ausgeschlossen sehen wuerde, sollten sie sich schaemen auf diese Weise ihre Kohle zu machen. Aber mit Moral brauche ich hier gar nicht erst anfangen. Diese Entwickler haben sowieso schon ihre Seele verkauft.

Okay, was haben wir noch im Angebot. Da gibt es noch das Angebot von StartApp. Dieses ist dem Entwickler wiederum durch ein Framework zugaenglich und legt dem Nutzer nach der Installation eine Verknuepfung zu einer Suchmaschine auf den Homescreen. Passend dazu werden dann auch noch entsprechende Lesezeichen angelegt. Fazit: weniger schlimm und einfacher zu korrigieren aber laestig.
Auch hier sollten die Entwickler, die davon Gebrauch machen auf der Stelle vom Blitz getroffen werden.
Allerdings outen sich diese Apps fuer den Nutzer, in dem sie das Recht anfordern Lesezeichen zu lesen und zu bearbeiten. Wer einer App den Zugriff aud die Lesezeichen erlaubt obwohl die App selbst damit nichts zu tun hat, der ist im Gunde genommen auch selbst schuld. Trotzdem gibt es reichlich Apps mit noch mehr Nutzern, die das offensichtlich gekonnt ignorieren.

Gesamtfazit: Als Nutzer solltet ihr niemals Rechte absegnen, die euch dubios erscheinen. Lieber einmal zuviel die App-Beschreibung oder die bei der App verknüpfte Entwickler-Webseite besuchen und Nachforschungen ueber die Rechte anstellen bzw. im Zweifel die App nicht installieren, als sich Schadsoftware aufs Telefon zu holen. Die von mir vorgestellten Apps sind ja noch recht harmlos was die Weitergabe von sensiblen Daten betrifft. Sicherlich gibt es auch noch Apps im Market die weit mehr ausspionieren. Deswegen bleibt immer wachsam und geht mit offenen Augen durch den Market.

(via reddit)

Was mich an den Android-Updates stoert …

… ist beispielsweise, dass ein noch nicht einmal zwei Jahre altes Geraet wie das Samsung Galaxy S, welches sich irrsinnig gut verkauft hat und in den ersten sieben Monaten rund 10 Millionen mal ueber den Ladentisch gegangen ist, jetzt noch nicht einmal eine abgespeckte Version von Android 4.0 aka Ice Cream Sandwich erhaelt. Samsung, das ist ganz ganz schwach.

Die Begruendung TouchWiz, also die Samsung eigene Oberflaeche, wuerde damit nicht fluessig funktionieren legt nahe, dass Samsung zunaechst einmal vernuenftige Programmierer einstellen sollte. Warum sonst bekommen die Jungs vom CyanogenMod oder andere Custom-ROM Autoren bei den XDA-Developers das hin? Klar handelt es sich bei diesen Ports um ein Stock ROM; aber liebe Samsung’ler, wenn ihr es nicht selbst hinbekommt, dann lasst in Gottes Namen die Finger von eurer eigenen Oberflaeche und rueckt ein Update auf das Stock-ROM raus. Die Personen, die sich dafuer interessieren, die koennen es sich dann installieren. Und verzichten dabei sicher nur zu gerne auf eurer ach so tolles TouchWiz. Dem Rest sind die Updates dann entweder egal oder sie ziehen es vor TouchWiz zu behalten.

Google sollte wirklich anfangen ueber die Motorola-Sparte selbst Mobiltelefone auf den Markt zu bringen und diese besser zu supporten. Nicht zur Strafe fuer die anderen Hersteller sondern nur zur Uebung. Ende der Druchsage.

Android-App: Airdroid

Eine weitere App, die ich euch heute empfehlen moechte nennt sich Airdroid. Diese App bildet eine Schnittstelle zwischen eurem PC und eurem Androiden. Die einzige Voraussetzung dafuer ist, dass sich beide Geraete im gleichen WLAN-Netzwerk befinden. Ist dies der Fall koennt ihr eine spezielle Webseite aufrufen die von der App angezeigt wird. Der Zugriff auf den Androiden ist dann noch mit einem Passwort abgesichert, welches frei gewaehlt oder zufaellig generiert werden kann und ebenfalls von der App bereitgestellt wird.

View at Picasa Desktopumgebung von Airdroid im Browser	View at Picasa SMS-Ansicht im Webbrowser	View at Picasa Galerie-Ansicht im Webbrowser
View at Picasa Musikliste im Webbrowser	View at Picasa Startbildschirm bei Airdroid	View at Picasa Info zu Airdroid
View at Picasa Zusaetzliche Anzeige der laufenden Prozesse	View at Picasa Auch die Systemauslastung kann angezeigt werden

Einmal eingeloggt hat man dann Zugriff auf viele Telefonfunktionen, die Android mitbringt. Dazu zaehlt der Zugriff auf SMS, Bilder, Kontakte, Fotos, Videos, SD-Karteninhalt und so weiter. Es kann auch am PC eine SMS geschrieben werden, die dann ueber ueber das Handy verschickt werden kann.

Ich selbst nutze die Option haeufig um drahtlos MP3-Dateien auf den Androiden zu schieben oder um Bilder zu synchronisieren, die ich mit dem Smartphone geschossen habe. Die App bedeutet keinen wirklichen Mehraufwand im Vergleich zum normalen Datenkabel, ersetzt dieses allerdings nahezu vollstaendig. Zudem bietet es noch weitere Optionen wie das Schreiben von SMS am PC, die fuer Vielschreiber sicherlich interessant sein duerften.

Die App gibt es kostenlos im Android Market.

Android App: LBE Privacy Guard

Endlich habe ich mal wieder Zeit einen Blogpost zu schreiben. Heute soll es um die Android App LBE Privacy Guard gehen. Diese App erlaubt es euch Rechte von Programmen nach deren Installation einzuschraenken – eine Funktion, die Google bisher nicht in Android implementiert hat und die dort vermutlich von Google auch niemals eingebaut werden wird.

View at Picasa	View at Picasa	View at Picasa
View at Picasa	View at Picasa

Zur App selbst sei gesagt, dass ein Root-Zugriff notwendig ist, da sich die App sozusagen als Proxy zwischen Programm und Android-System schaltet und nur die Anfragen durchlaesst, die der Anwender abnickt. Solltet ihr also keine Root-Rechte auf eurem Geraet haben, dann macht es vermutlich keinen Sinn diesen Artikel weiter zu lesen – es sei denn ihr liebaeugelt damit euch Root-Zugriff zu beschaffen.

Zurueck zur App. Sicherlich kennt jeder das Problem, dass diverse Programme im Market Rechte wollen, die fragwuerdig sind und die man besser nicht erlauben will. Dann bleibt einem nur die Wahl die App nicht zu installieren oder aber in den sauren Apfel zu beissen. LBE Privacy App hingegen erlaubt es Rechte nach der Installation einzuschraenken. Derzeit koennen folgende Rechte bearbeitet werden: SMS verschicken, SMS lesen, Telefonanrufe taetigen, Kontakte lesen, Anrufprotokoll lesen, Position ermitteln (GPS und lokales Netzwerk), Telefon-ID abfragen (beinhaltet IMEI, IMSI, etc.), Internetzugriff mobil, Internetzugriff WLAN

Android selbst bietet weitaus mehr Rechte an, die allerdings noch nicht bearbeitet werden koennen. Hier waere es wuenschenswert, wenn die Entwickler der App noch etwas nachlegen und nach Moeglichkeit jedes Recht editierbar machen und davon gibt es eine Menge. Doch die Rechte, die anpassbar sind, koennen sauber eingestellt werden. Bei jedem Recht kann gewaehlt werden ob es generell erlaubt, generell verboten oder auf Rueckfrage erlaubt/verboten werden soll. Einzig der Internetzugriff ist hiervon ausgenommen. Dieser kann nur generell ab- oder angeschalten werden. Eine Rueckfragemoeglichkeit ist hier nicht vorgesehen.

Die App gibt es im Android Market und kann kostenlos bezogen werden. Vielleicht noch ein Wort zu den Rechten, die die App selbst benoetigt: Weil die App selbst Root-Zugriff anfordert, braeuchte sie selbst eigentlich gar keine Rechte auffuehren. Trotzdem haben die Entwickler angegeben, welche Rechte von der App verwendet werden. Dies schafft Vertrauen zum Nutzer – auch wenn man den Entwicklern nicht auf die Finger schauen kann, denn theoretisch haben sie mit dem Root-Zugriff die Moeglichkeit jede beliebige Aktion auf dem Geraet durchzufuehren – ob sie nun die explizite Erlaubnis vom Nutzer haben oder nicht. Sogesehen kann man den Root-Zugriff als Wildcard der Rechte einsehen. Denkt da immer dran! Zudem wird die App bisher nicht als Opensource freigegeben. Daher bleibt einem nicht viel mehr als ein gesundes Vertrauen in das Entwicklerteam zu haben.

Zu den oben genannten Funktionen bietet die App die Option den Netzwerkverkehr zu ueberwachen. Es kann so eine Uebersicht darueber gewonnen werden, welche App wie viel Datenvolumen verbraucht. Ausserdem kann ein Limit festgesetzt werden (macht Sinn bei Volumen-Flatrates), bei dem die App den Internetzugang dicht macht. So kann vermieden werden, dass beispielsweise ein Inklusivlimit des Providers ueberschritten und teuer bezahlt werden muss. Ich selbst nutze diese Option allerdings nicht, weswegen ich nicht viel dazu schreiben kann.

Die App selbst laeuft bei mir seit geraumer Zeit und ist sehr stabil. Bisher kam es wegen der eingeschraenkten Rechte auch zu keinem App-Absturz. Es lohnt sich also auf jeden Fall die App mal auszuprobieren, wenn man eine Moeglichkeit sucht Rechte von Apps nachhaltig einzuschraenken. Von mir gibt es eine klare Empfehlung.

Android: Google zwingen Probleme zu beheben

Ich mache es kurz: Jeder der einen Androiden sein Eigen nennt und an einer Verbesserung von Android interessiert ist, der sollte sich folgende Bug-Reports ansehen. Ist man von der Problematik betroffen, dann lohnt es sich den Bug-Report mit einem Stern zu markieren, da man dann zum einen auf dem aktuellen Stand gehalten wird was die Diskussion anbelangt und zum anderen Google den Hinweis gibt, dass dieses Thema wichtig ist.

Ich poste mal die fuer mich wichtigsten Fehler an Android, die dringend behoben werden sollten:

• Issue 1211: Integrate Contact Record Birthday & Anniversary Date Fields with Calendar

  In Android ist es nicht moeglich in der Kontakte-App einem Kontakt einen Geburtstag zuzuordnen. Dieser Fehler ist seit 2008(!) nicht behoben worden.

• Issue 10809: Password is stored on disk in plain text

  Teilweise werden Passwoerter auf dem Android-Phone im Klartext(!) gespeichert.

• Issue 3748: Add support for partition/block device encryption

  Dieser Bug-Report haengt mit dem Klartext-Problem bei Passwoertern eng zusammen.

• Issue 1265: Incomming Call Contact Picture Size should be Bigger

  Das ist zwar nicht sicherheitsrelevant, allerdings auch ein Fehler der mich schon lange stoert. Eingehende Anrufe zeigen zwar das zu einem Anrufer zugewiesene Foto, aber in einer miserablen Qualitaet.

Habt ihr auch noch Fehler gefunden, die eurer Meinung nach hier stehen sollten? Dann postet sie in den Kommentaren. Ich habe leider momentan zu wenig Zeit mich durch die Bugreports zu klicken, bin aber gerne bereit eure Vorschlaege zu ergaenzen.

Und nicht vergessen: Markiert die euch wichtigen Bug-Reports mit einem Stern. Das ist die einzige Option Druck auf Google auszuueben.