blog.wlami.com

Virtuelles Zuhause von Wladislaw Mitzel

Mit aLogcat eure Android Logs nach Zugangsdaten durchsuchen

Heute wollte ich eine App installieren, die eigentlich nur Fotos schießen und einige Effekte anwenden soll. In den Berechtigungen zeigte mir der Android Market allerdings, dass die App die Logs lesen will. Das Recht heißt “Vertrauliche Protokolldaten lesen” und kann sehr kritisch sein. Loggt eine App beispielsweise zu Debugging-Zwecken, so kann es passieren, dass darunter auch mal Zugangsdaten wie Benutzername oder Passwörter auftauchen. Mit aLogcat könnt ihr folgendermaßen eure Logs selbst überprüfen:

Das Tool erlaubt euch die System-Logs zu sehen. Das geht sonst nur, wenn ihr das Gerät an einen Computer anschließt und das USB-Debugging aktiviert, was jedoch ebenfalls ein Sicherheitsrisiko darstellen kann. aLogcat liest die Logs, hat aber keine Rechte für den Zugriff aufs Internet, sodass es nicht eigenständig eure Logs preisgeben könnte. Im linken Screenshot seht ihr, wie die App aussieht, sobald ihr sie gestartet habt. Wie ihr sehen könnt, habe ich einige Logs unkenntlich gemacht. Dies liegt daran, dass diese Informationen zu meinem W-Lan Accesspoint enthalten.

Wenn ihr nun gezielt nach möglichen Zugangsdaten sehen wollt, könnt ihr dies tun, indem ihr ins Menü geht (Screenshot 2) und dann “Filter” wählt. Anschließend könnt ihr Benutzernamen oder teile eurer Passwörter als Suchbegriffe eingeben (Screenshot 3). Werden anschließend Log-Einträge angezeigt, so solltet ihr euch Gedanken machen, ob ihr das gut findet.

Bei mir gab es zum Glück keine Einträge mit Benutzerdaten. Trotzdem können sensible Daten in den Logs stehen. Bei mir waren das Beispielsweise Daten des W-Lan Accesspoints, aber auch Geo-Daten. Ich möchte nicht, dass Anwendungen auf meinem Gerät landen, die sowohl ins Internet können, als auch Log-Daten lesen. Deshalb habe ich auch die Anfangs erwähnte Foto-App nicht installiert.

Kommentieren

Dieses Blog verwendet statische Kommentare. Kommentare werden also per Mail an mich geschickt und erscheinen anschließend im Blog. Eure E-Mail-Adresse wird nicht veröffentlicht.

Kommentar schreiben