Nachdem mein Letzter Beitrag auf meinen Blog ein kleiner Ausrutscher war, gibt es diesmal wieder einen richtigen. Vor einpaar Tagen habe ich via Google+ angekündigt das ich mal einen Test machen werde wie viele Daten man mit einer Android Applikation zusammen bekommt, inspirieren lassen habe ich mich übrigens von shakal und sein Blog-Posting zum Thema Android Permissions.
Da ich schon des öfteren Android Applikationen entwickelt habe, war es für mich kein Problem mich in diese Materie einzuarbeiten, nur um das Projekt auf die breite Masse vorzubereiten habe ich mich dazu entschlossen eine ganz simple Applikation zu erstellen, und das wäre eine Taschenlampe. Die meisten Smartphones verfügen über ein LED-Licht für die Kamera, und da ich selbst als erstes wo ich mein Android Smartphone hatte nach einer Taschenlampe gesucht habe, habe mich mich dazu entschlossen eben so eine zu entwickeln.
Das größte Problem bei der Entwicklung dieser einfachen Applikation war es, wie ich an die Daten meiner Benutzer dran komme. Google selbst bietet zwar eigene Werkzeuge dafür an, um zu sehen wie viele Benutzer man hat, und wie oft die Applikation benutzt wird, aber das reichte mir noch nicht ganz aus. Daher habe ich einfach ein paar ganz fiese Methoden verwendet, innerhalb der Applikation habe ich eine Funktion geschrieben die so ziemlich alle Daten in eine SQL-Datenbank schreibt.
Was auch total legitim ist, da der Entwickler-Code es erlaubt Informationen vom System und deren Applikationen zu lesen. So kann man zum Beispiel das Recht einräumen das meine Applikation die Kurznachrichten (SMS) lesen darf, sowie die Kontakte die auf dem Telefon gespeichert sind, übrigens gehören dazu auch die Daten die auf dem Google Kontaktbuch liegen. Ebenfalls ist es möglich die Kontakte auszulesen die sich in sozialen Netzwerken befinden wie Facebook.
Das schönste ist eigentlich dass es erlaubt ist zu schauen ob ein Benutzer grade Telefoniert, und mit welcher Person. Sollte diese Person nicht im Kontaktbuch sein, so bekomme ich die Telefonnummer trotzdem. Soweit so gut, sobald jemand meine Applikation installiert hat, werden seine Daten die ich Lesen darf in meine SQL-Datenbank geschrieben die sich auf dem Smartphone befinden, nach dem meine Applikation die Daten hat, werden diese via HTTP (Unverschlüsselt!) an meinen Server gesendet, und dort auch in eine große Datenbank geschrieben.
Innerhalb meiner Datenbank habe ich Zugriff auf alle Daten von all meinen Benutzern, so kann ich die Kurznachrichten lesen, und auch die Kontakte die sich auf dem Telefon befinden. Damit das ganze auch nicht so unübersichtlich wird, speichere ich mir auch gleich die Profil-ID von meinen Benutzern, die Profil-ID ist eine eindeutige Adresse auf die das Android-Smartphone bei Google Registriert ist, kurz gesagt und um es einfach zu erklären, ähnlich wie ein Fingerabdruck.
Da ich aber nicht immer in die Datenbank schauen wollte ob es was neues gibt, habe ich mir mithilfe von Python eine Terminal-Applikation entwickelt, die mir alle Daten direkt in Echtzeit übergibt, und die es mir auch erlaubt Daten nochmal anzuschauen, ohne das die SQL-Datenbank warten muss bis es neue Einträge gibt. Also um es hier auch einfach zu erklären, es wäre so als wenn ich einfach in euer Haus gehe und mich mal umsehe und die Schubladen aufmache – und Ihr habt auch nichts dagegen.
Weil immerhin erlauben mir meine Benutzer das ich auf Ihren Smartphones mich etwas umsehen darf. Da ich die Applikation nur für den Amerikanischen Android-Market veröffentlicht habe, war es sogar noch einfach an die Daten zukommen.
Das soll jetzt nicht böse klingen, aber unsere Freunde aus Ãœbersee haben es nicht so mit dem Lesen, und klicken fast bei jeder Sache “Ja und Amen!” – Außerdem hätte ich eventuell richtig ärger bekommen wenn ich diese Applikation im Deutschen Android-Market veröffentlicht hätte, da ich doch sehr sensible Daten abgreife, wenn da jemand sehr schlechte Laune hat, dann gäbe es böse Post von einen Rechtsverdreher.
Ãœbrigens ich habe die Android-Applikation wieder aus dem Market genommen, weil ich dieses Projekt jetzt schließe, die Daten die ich von den Benutzern habe – sind schon gelöscht, jeglich auf den Screenshots die Ihr hier im Anhang findet sieht man noch etwas, allerdings habe ich diese Verpixelt alleine zum Schutz der Privatsphäre der Benutzer, reicht schon wenn ich in Ihrem Leben etwas rumschnüffel durfte ;)
Übersicht über aktuelle Daten
Ãœbersicht von Kontakten (inkl. Duplikaten von Google Kontakten)
Eingehende Kurznachrichten (SMS)
Live-Ansicht vom Daten ergreifen ;)
Ähnliche Artikel:
[...] und welche nicht.Hier mal ein tolles Beispiel das sich aus dieser Unterhaltung entwickelt hatAndroid-Applikationen als Datensammeler – Smartphone – Revengeday.de.Auch hier kann ich wieder nur sagen… gebt acht was ihr euch installiert und ob die App so und [...]
Es ist schon erschreckend, welche Daten man sich als Entwickler von seinen Benutzern besorgen kann. Ich bedanke mich bei Ihnen für diesen Artikel, ich werde ihn Morgen meinen Schülern mal zeigen, ich bin Dozent an einer Hochschule und unterrichte dort IT Sicherheit.
Ich bin mir ziemlich sicher das sich da noch mehr Daten besorgen lassen, ich habe erstmal nur das gemacht was möglich war ;)
Klasse Beitrag :D
Ohne Security Suites geht irgendwie gar nichts mehr *g
Wobei die Security Suites auch wieder die Daten der Benutzer sich ergreifen können ;)