Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Android schreibt ohne Rechte

Android-Apps sind in der Lage, Dateien im Downloadverzeichnis meines Smartphones abzuspeichern, obwohl ich ihnen dazu keine Berechtigung erteilt habe.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
c't Magazin
Von

Firefox, Opera und weitere Android-Apps sind in der Lage, Dateien im Downloadverzeichnis meines Smartphones abzuspeichern, obwohl ich ihnen dazu keine Berechtigung erteilt habe. Ist das ein Bug in Android oder in meinem Smartphone?

Nein, alles geht mit rechten Dingen zu – außer dass Google diesen sozusagen genehmigungsfreien Dateizugriff nicht gut dokumentiert hat. Einer App ist außerdem kaum anzusehen, dass sie ihn nutzt.

Eigentlich muss eine App inzwischen tatsächlich beim Benutzer nachfragen, wenn sie auf den allen Apps zugänglichen Bereich des Smartphonespeichers zugreifen möchte. Google lässt allerdings eine Ausnahme zu: Wenn eine App Dateien herunterladen möchte, kann sie das einem Android-Systemdienst übertragen, der der App viel Arbeit beispielsweise bei Verbindungsabbrüchen abnimmt. Weist die App diesen Dienst an, die Datei in einem Systemverzeichnis wie dem Download-, Bilder- oder Filmeordner abzulegen, benötigt sie dazu nicht die explizite Berechtigung zum Schreibzugriff, die eine Nachfrage beim Benutzer auslöst.

Die App muss dazu bei der Installation die Berechtigung DOWNLOAD_WITHOUT_NOTIFICATION anfordern – und das kann sie mittlerweile unbemerkt, weil der Play Store die bei der Installation angeforderten Rechte nicht mehr beim Benutzer nachfragt. Nutzer müssten schon explizit im Play Store unter "App-Info" bei "App-Berechtigungen" nachschauen, ob dort unter "Sonstiges" das "Dateien ohne Benachrichtigung herunterladen" auftaucht. Nach der Installation kann man in den Einstellungen unter App-Info nachsehen, aber auch hier versteckt Google diese Rechtekategorie: Tippt man auf "Berechtigungen", steht dort "Keine Berechtigungen zugelassen". Erst wenn man im Dreipunktmenü oben rechts auf "Alle Berechtigungen" tippt, erscheint weiter unten unter "Andere App-Funktionen" der fragliche Eintrag.

Tatsächlich kann eine App somit unbemerkt beliebige Dateien im Downloadverzeichnis ablegen. Immerhin durchsucht Androids eingebauter Malware-Scanner seit Android 10 alle in diese öffentlichen Verzeichnisse durchgeführten Downloads; diesen Scan können die Apps auch nicht abschalten.

Neugierig geworden?

Weitere Tipps & Tricks von c't

(jow)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten