30. April 2024

#CYBER #FORSCHUNG – PANDERAM#4: Androids Security for Privacy – Wo stehen wir heute?

Android hat über die Jahre viele Privacy-Features in neuen Versionen erhalten. Das Forschungsprojekt PANDERAM konnte aber zeigen, dass diese Funktionalitäten bei komplexen Datenflüssen von Nutzer:innen nicht mehr detailliert kontrolliert werden können. Mittels PANDERAM konnte eine leicht nachvollziehbare Visualisierung dieser Datenflüsse entwickelt werden. Zudem hat unsere zweite Laborstudie gezeigt, dass Nutzer:innen ihre Daten häufig besser schützen möchten, die Privacy-Features von Android aber in der Regel nicht kennen, verstehen und/oder nutzen. Dazu haben wir bereits im letzten Artikel berichtet. Mit ein wenig mehr Transparenz, einer benutzerfreundlichen Aufbereitung und Erklärung kann das schnell geändert werden. PANDERAM als Projekt ist zu Ende, ob sich eine Initiative daraus ableiten lässt ist aktuell fragwürdig. Nach Jahren des sorglosen Umgangs mit App-Daten sehen wir jetzt endlich im Medizinbereich den Regulator mit strengen Regeln durchgreifen.

Wo kommen wir her, wo stehen wir heute und wohin entwickeln wir uns?

Wir haben uns in den zwei BMBF-geförderten Projekten AndProtect und PANDERAM zusammen mit unseren Partnern nun seit 2015 Jahre intensiv mit Sicherheits- und Privatsphärenschutzaspekten der Android Plattform und Apps beschäftigt.

In unserem ersten Projekt starteten wir mit Android 4 (uns war die Dalvik VM zu Beginn wichtig) und haben heute zum Teil schon Android 14 auf aktuellen Geräten laufen. In den vielen Android-Versionen sind viele Privacy-Funktionalitäten über die Zeit hinzugekommen. Heute ist es möglich Berechtigungen je App und differenziert einzustellen. Zudem kann Android Statistiken über die Nutzung der Berechtigungen erstellen.

Android-Features (auch Privacy-Features) entwickeln sich mit rasender Geschwindigkeit, aber wie schnell können wir diese untersuchen und auf ihre Wirksamkeit hin überprüfen? Den Wettlauf wird die Forschungscommunity nicht gewinnen, aber dies sollte uns grundsätzlich nicht frustrieren. Positiv ist, bei den Plattformen geht es voran.

Stand bei Android?

Ist damit jetzt alles sonnig und Privacy im Android-Universum ein zentraler, leuchtender Stern? Nein, natürlich nicht. Die Ergebnisse unserer Laborstudien (Artikel 1, Artikel 2) haben klar aufgezeigt, dass die Funktionalitäten bisher nur von bestimmten, versierten Benutzer:innen aktiv genutzt werden. Privacy-Funktionen sind noch nicht für Nutzer in der Breite überschaubar und anwendbar.  Es drängt sich natürlich die Frage auf, warum ist das so? Würden wir eine sicherheitsrelevante Funktion im Auto im vierten Untermenü verstecken? Nein, dort finden wir optische Sicherheitshinweise im Hauptdisplay und auf Augenhöhe.

Unser Forschungspartner Fraunhofer SIT, hat komplexe Datenflüsse aus dynamischen Analysen extrahiert und anschließend sehr anschaulich visualisiert. Unser Projekt PANDERAM konnte damit aufzeigen, dass die implementierten Privacy-Methoden in Android eigentlich nicht ausreichen, um dem Nutzer:innen ein abschließend wirksames Mittel an die Hand zu geben. Sie können sich aktuell nur komplett für oder gegen die Nutzung von Daten entscheiden. Wenn eine App die Daten dann für verschiedene Zwecke verarbeitet oder teilt, dann kann dies nicht mehr von Nutzer:innen kontrolliert werden.

Was passiert nach PANDERAM?

Wir haben uns auch gefragt, was wäre notwendig, um aus PANDERAM eine Initiative für die Zukunft zu machen, und wie könnte diese finanziert werden? Diese zentrale Frage brannte uns auch schon nach AndProtect unter den Nägeln, damals waren unsere Ergebnisse noch nicht ausgereift genug, um die Frage zu begründen. Das ist jetzt anders. Mit PANDERAM können wir nun aufzeigen, wie ein Werkzeug aussehen muss, dass Nutzer:innen hilft ihre Datennutzung auf dem Smartphone zu verstehen, um dann aktiv zu werden.

Zudem konnten wir in PANDERAM einen Demonstrator für die Nutzerinteraktion mit den Analyseergebnissen entwickeln und diesen positiv in Laborstudien mit Nutzer:innen evaluieren. Wir wissen daher nun, welche Aufwände für die Weiterentwicklung und einen produktiven Betrieb notwendig wären. Das steht auf der Kostenseite, aber wir wissen nun auch: Eine echte PANDERAM-App würde die Steigerung der Selbstwirksamkeit der Benutzer:innen erhöhen, hierdurch werden Nutzer:innen unterstützt, die Privacy-Features der Android-Plattform wirklich aktiv zu nutzen.

Aber eine App wie PANDERAM und der aufwändige Betrieb kann sich nicht selbst finanzieren, hierzu wäre eine weitere öffentliche Finanzierung notwendig oder eine Umlagefinanzierung, die von der App-Community bezahlt wird. Wie realistisch wäre dies? Sicherlich nicht ganz unrealistisch, immerhin haben wir in der EU mit der DSGVO eine sehr starke Datenschutz-Gesetzgebung.

Was lernen wir als secuvera aus dem PANDERAM Projekt?

Als Prüfstelle für IT-Sicherheit werden wir für die Überprüfung von Security beauftragt. Wenn ein Produkt unsere Prüfungen besteht, dann bedeutet dies, wir haben in das Produkt mehr Vertrauen (Assurance), oft wird dies über ein Zertifikat ausgedrückt. Hier wird für uns jetzt unsere Arbeit weitergehen, denn die Fragen werden zunehmend relevant: Sind konkrete Android-Geräte als Plattform „sicher“, und sind einzelne Apps „sicher“?

Für Apps im Gesundheitsbereich ist diese Frage bereits jetzt hochaktuell. Sogenannte DiGA-Apps, also verschreibungspflichtige Apps, müssen heute schon professionell gepentestet werden und ab 2025 gilt dann eine Pflicht zur Security-Zertifizierung, Grundlage ist eine Technische Richtlinie (TR) des BSI. Der Gesetzgeber ist hier aktiv geworden, da App-Anbieter bisher nicht ordentlich mit den Daten von Patienten umgegangen sind, heise berichtet hierzu regelmäßig. Wir bieten DiGA-Pentesting und die TR-03161-Zertifzierung als Dienstleistung an. Und wir gehen davon aus, dass auch andere App-Typen in Zukunft in den Blick des Regulierers fallen, wenn App-Entwickler wieder unsachgemäß mit Daten umgehen.

Und wie schaut es bezüglich des Vertrauensnachweises bei Android-Geräten aus? Hier sind wir auch überrascht, dass dieser Aspekt so lange Zeit schon unter dem Radar fliegt. Zwar hat das BSI schon im Jahr 2020 Mindestanforderungen an Smartphones gestellt, aber einen Ruf nach Überprüfung oder Zertifizierung gibt es bisher noch nicht. Positiv haben wir zur Kenntnis genommen, dass die ETSI als Standardisierungsorganisation sich dem Thema gewidmet haben, seit Ende 2021 gibt es ein Schutzprofil mit detaillierten Anforderungen (konkret: Consumer Mobile Device Protection Profile, ETSI TS 103 732). Hier wurde ein zertifizierungsfähiges Format gewählt, also eine gute Grundlage geschaffen.

Da in der EU aktuell der Cyber Resiliance Act (CRA) diskutiert wird, ist eigentlich zu erwarten, dass die Initiative der ETSI zeitnah in geeigneter Form weitergeführt wird. Bleiben wir gespannt, was die Politik hier auf den Weg bringt, und unter welcher bisher abstrakten Kategorie der CRA-Regulierung dann Android-Smartphones fallen werden. Die Zeiten für freiwillige Initiativen oder Verstöße ohne Auswirkungen werden in der EU jetzt bald zu Ende zu gehen, wie genau und mit welcher Geschwindigkeit müssen wir nun beobachten.