English
中文
Deutsch
StartseiteArtikel

"Privacy Radar": From which dimensions does it test system security? We asked the front-line programmers.

36氪品牌2024-12-24 21:52
The security problems brought about by technological development ultimately need to be solved by means of technological development.

Diese Frage mag etwas altmodisch klingen, aber: Ist dein Handy wirklich sicher? 

Am 3. Dezember berichtete das Ministerium für Industrie und Informationstechnologie von 27 Apps, die die Rechte der Benutzer verletzen, einschließlich übermäßigen Sammelns persönlicher Daten und des Einholens von Berechtigungen. Die Entwickler wurden angewiesen, diese innerhalb einer Frist zu beheben. 

Am 12. Dezember führte die Cyberspace-Verwaltung des Bezirks Yuelu in Changsha Gespräche mit Verantwortlichen von 10 Apps, die Daten von Bürgern unrechtmäßig sammelten. Die Probleme und Risiken im Umgang mit personenbezogenen Daten wurden angesprochen. 

Schon früher, seit Anfang des Jahres, gab es landesweit Fälle von FaceTime-Betrug aufgrund von Datenschutzverletzungen, was zu finanziellen Verlusten führte. Die Polizei empfahl sogar, FaceTime zu deaktivieren, um Betrug zu verhindern. 

Also zurück zur Frage: Ist dein Handy wirklich sicher? 

Von Gesichtserkennungsdaten über Lebensläufe auf Jobplattformen bis zu Standortdaten und Bankpasswörtern, die Menge an persönlichen Daten auf Handys wächst stetig, ebenso wie die damit verbundenen Kriminalrisiken. Datensicherheit ist zu einem Hauptanliegen der Öffentlichkeit und einem regelmäßigen Thema im Fernsehen geworden. 

Schadsoftware und Telekommunikationsbetrug sind Hauptziele von Maßnahmen. 

Aber die Verletzung der Privatsphäre durch einige Apps im "Graubereich" bleibt oft unbeachtet. 

Oft, wenn Apps Berechtigungen für Fotoalben, Standort oder SMS erfragen, und Nutzer zustimmen, werden alle sensiblen Informationen auf dem Handy dem Angreifer zugänglich gemacht, sollte dieser in die Entwicklerumgebung eindringen. 

Es ist besonders frustrierend, dass selbst bei regulären Apps durch Systemlücken persönliche Daten in die Hände Dritter gelangen können. 

Angesichts der riesigen Anzahl von Apps ist eine detaillierte Verwaltung schwierig. Neben der Sensibilisierung der Nutzer müssen Sicherheitslücken direkt im Betriebssystem beseitigt werden, um die privaten Daten zu schützen. 

Am 26. November stellte Huawei die neueste Generation der Mate 70 Serie mit dem selbst entwickelten Betriebssystem HarmonyOS vor. Huawei kündigte an, dass alle neuen Geräte ab nächstem Jahr HarmonyOS nutzen werden, wodurch das Interesse daran stieg. 

HarmonyOS stellt die Sicherheitsstruktur des Betriebssystems neu auf und bietet durch das Starshield-Framework umfassenden Schutz von System- bis Anwendungsebene. 

Für normale Nutzer mag das schwer verständlich sein, ein direktes Beispiel ist jedoch die Videobewertung.

Wer kann dem Privatradar entkommen?

Um übermäßige Datensammlungen bei traditionellen Android-Herstellern anzusprechen, entwickelte das Team des Technikkanals [Lin Yi LYi] eine „Privatradar“-App, um die Datenanforderungen von Apps auf unterschiedlichen Betriebssystemen zu testen. 

Das bedeutet, dass durch die Simulation von Nutzergewohnheiten geprüft wird, wie viel Zugriff Entwickler auf private Daten unter HarmonyOS im Vergleich zu Android haben. 

Die häufigsten Berechtigungsanforderungen von Apps wie Taobao, WeChat und Alipay lassen sich in drei Kategorien unterteilen. „Privatradar“ verwendet Popup-Fenster, um diese zu simulieren: 

1. Zugriffserlaubnisse: Fotoalben, Dateien, Kontakte, Anrufprotokolle, SMS. 

2. Funktionale Erlaubnisse: Nutzung der Kamera. 

3. Basisinformationen: Geräteinformationen, App-Listen. 

Beginnen wir mit Android: 

In den Tests des [Lin Yi LYi] Teams wurden drei verschiedene Android-Geräte verwendet, die fast durchweg scheiterten. 

Sobald die Nutzer den Berechtigungsanfragen zustimmen, sind private Fotos, Kontakte, Anrufprotokolle, SMS von Banken/Anbietern und Registrierbenachrichtigungen für die App sichtbar. 

Besonders Fotoalben sind ein sensibler Bereich, bei dem Entwickler über die App-Backend-Oberfläche auf alle Fotos zugreifen können. Nutzer müssen beim Speichern von Passwörtern und Kontonummern in Fotoalben vorsichtig sein. 

Selbst bei Aufnahmen könnte die Kamerafreigabe ein unsichtbares Risiko darstellen. 

QR-Codes sind ein alltäglicher Risikofaktor. 

Ein kleines Update am Code der Privatradar-App reicht aus, um bei der QR-Code-Nutzung eine unbemerkte Aufnahme zu ermöglichen – viele Android-Geräte geben keine Fehlermeldung aus und speichern alles aufgenommene Material ohne dass der Benutzer dies bemerkt.  

Nun zu HarmonyOS: 

Der größte Unterschied zwischen HarmonyOS und anderen Systemen liegt in der Sicherheitsphilosophie, die sich von "Erlaubnisverwaltung" zu "Datenverwaltung" entwickelt hat. 

Zur Erklärung: Unter HarmonyOS gibt es keine klassischen Berechtigungsanfragen, sondern nur den Zugriff auf ausgewählte Inhalte. 

Für den Nutzer ist dieser Prozess „unsichtbar“. 

Obwohl Android und iOS ähnliche Einstellungen haben, müssen Nutzer bei jedem neuen Inhalt manuell in die Systemeinstellungen gehen, was umständlich ist. 

Bei HarmonyOS können Nutzer alle Fotos einsehen und auswählen, aber die App kann nur auf die ausgewählten Inhalte zugreifen, dank einer unsichtbaren „Privatsphärenwand“. 

HarmonyOS hat Sicherheitslücken beim Scannen von QR-Codes behoben. Es erlaubt Apps nur den Zugriff auf die entschlüsselten Daten. 

Eine Stärke von HarmonyOS ist das Verbot von Sideloading, APKs müssen über den Huawei-App-Store geladen werden, wo sie streng kontrolliert werden. 

Was sagen die Entwickler?

Nach der Betrachtung von Bewertungsvideos fragen sich Nutzer, warum die gleiche App auf unterschiedlichen Systemen eine so unterschiedliche Datensicherheit bieten kann. Liegt es an technischen Schwierigkeiten oder verschiedenen Designkonzepten? 

Um dies zu klären, haben wir erfahrene Entwickler für Android, iOS und HarmonyOS interviewt. 

Der größte Unterschied liegt im Design:  

Ma Bingang vom Technologieteam von ZOL erläutert, dass HarmonyOS im Vergleich zu Android und iOS eine spezielle Regelung für den Zugang der Apps zu persönlichen Daten hat. „Bei anderen Plattformen gibt man den Apps direkt die Schlüssel zur Tür, während HarmonyOS nur gezielte Zugriffe gewährt.“ 

HarmonyOS blockiert neun Arten von nicht notwendigen Berechtigungen, wodurch Datenlecks vermieden werden. 

Interessanterweise sind Entwickler oft sogar stärker an einem hohen Datenschutz interessiert als Nutzer. 

„Datenschutzprobleme verursachen bei uns Kopfschmerzen. In den letzten Jahren haben wir viel in die Einhaltung von App-Sicherheitsstandards investiert“, sagt Wu Youshan von Pacific Technology. 

Entwickler haben oft Probleme, da App-Entwicklung viele externe SDKs erfordert, die möglicherweise Informationen wie installierte App-Listen oder Gerätedaten sammeln. Jede Lebenszyklusüberprüfung wäre extrem aufwändig. 

„Viele Apps benötigen diese Daten gar nicht, aber alles abzustellen bedeutet viel Arbeit“, ergänzt Wu Youshan. 

HarmonyOS verbietet unangemessene Berechtigungen und gewährt selektiven Zugriff auf Daten. Dies reduziert den Arbeitsaufwand für Entwickler erheblich. 

Auch "gesunde" Apps könnten manipuliert werden und Werbeanzeigen oder Datendiebstahl verursachen.  

Diesbezüglich stellt @SuperXHua auf Bilibili fest, dass unter HarmonyOS alle Apps kraftvoll signiert und auf dem Huawei-Store überprüft werden müssen, was Manipulationen verhindert und sowohl Nutzer als auch Entwickler schützt. 

Systeme haben oft „Legacy Codes“, die schwer zu aktualisieren sind. Doch HarmonyOS beseitigt viele dieser Probleme durch integrierte Sicherheitsfunktionen. 

Technologische Probleme technologisch lösen

Täglich viele Werbeanrufe erhalten, gezielte Werbung nach Produktsuchen oder Unterhaltungen erhalten oder Schlimmeres, wie Datenlecks und Betrugserlebnisse. 

Da ein großer Teil unseres Lebens eng mit Handys verknüpft ist, wird Daten- und Informationssicherheit immer bedeutsamer. 

Datensicherheit kann durch verschiedene Methoden verbessert werden, aber eine Veränderung von Herstellerseite ist nachhaltiger. 

Technologische Probleme durch technologische Innovationen zu lösen, ist der beste Weg voranzukommen. 

Dieser Artikel wurde ursprünglich von36氪品牌produziert Für Nachdruck oder Inhaltszusammenarbeit klicken Sie bitte auf Hinweise zum Nachdruck ;Bei unbefugtem Nachdruck wird strafrechtlich verfolgt.

Die Bilder in diesem Artikel stammen von企业授权

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.