7. Juni update: Nach der Bekanntgabe dieser Entdeckungen wurde die mobile Anwendung "Peel Smart Remote" von Google Play entfernt.
Die Peel Smart Remote-App ist eine weit verbreitete Google Play-Anwendung (mehr als 100 M+ installiert), die aufgrund ihrer aufdringlichen Verhaltensweisen, wie Vollbild-Overlays und unpassender Werbung, die Nachricht oft erschüttert hat.
Letzte Woche hat die Pradeo Security Engine die Benutzer über schwerwiegende Sicherheitsprobleme in der Version 10.7.3.3 der App informiert. Es wurde festgestellt, dass die Anwendung Bilder der Benutzer sammelt und an einen Server weiterversendet, der nicht zum App-Publisher gehört. Am vergangenen Freitag wurde die Anwendung im Google Play Store (jetzt Version 10.7.4.2) aktualisiert. Das undichte Verhalten wurde aus dem Code entfernt, jedoch hat das Unternehmen diesbezüglich keine Meldung vorgenommen. Da das Update der Anwendungen nicht auf allen Android-Geräten automatisch erfolgt, sind noch Millionen von Benutzern betroffen, die die vorherige Version der App nutzen.
Bilder wurden an einen externen Server weitergeleitet
Die Peel Smart Remote 10.7.3.3-Version ist so programmiert, dass Bilder, die im externen Speicher der Geräte enthalten sind, an einen Server gesendet werden, der nicht zu Peel Technologies gehört. Die Pradeo Lab empfehlt allen Nutzer dieser Anwendung, diese auf die neueste verfügbare Version zu aktualisieren.
Datensammlung
Datenversand
Eine umfangreiche Liste von Genehmigungsanfragen
Um auf die Bilder von Benutzern zuzugreifen, verwendet die Peel Smart Remote-Anwendung die folgenden Berechtigungen:
Android.permission.WRITE_EXTERNAL_STORAGE
Android.permission.READ_EXTERNAL_STORAGE
Laut der Dokumentation der offiziellen Android-App-Entwickler - „Der externer Speicher ist der beste Ort für Dateien, für die keine Zugriffsbeschränkungen erforderlich sind, und für Dateien, die sie für andere Apps freigeben möchten oder die den Zugriff des Benutzers mit einem Computer ermöglichen“. Durch das Schreiben von Daten auf einem externen Speicher werden die Daten der Benutzer von der Peel Smart Remote-App in hohem Maße zugänglich gemacht. Durch das Lesen wird auf die Bilder, Videos, Audiodateien und anderen darin gespeicherten Dateien des Benutzers zugegriffen.
Außerdem ist es interessant zu wissen, dass die Anwendung nach kritischen Berechtigungen fragt, die den Zugriff auf die Kamera, die Kontaktliste und den Kalender ermöglichen und sogar die Aufnahme von Audio ermöglichen. Diese Berechtigungen scheinen jedoch für die Verwendung der Fernbedienung nicht erforderlich zu sein.
Android.permission.CAMERA
Android.permission.READ_CONTACTS
Android.permission.READ_CALENDAR
Android.permission.RECORD_AUDIO
Berechtigungsanfragen von Peel Smart Remote
Andere vertrauliche Informationen, die über das Netzwerk gesendet werden
Zum Abschluss werden Informationen von Pradeo Security Engine bereitgestellten Bericht festgehalten, dass die Anwendung persönliche Informationen wie Alter, ethnische Zugehörigkeit, Einkommen, politische Ausrichtung usw. der Benutzer erfasst und diese über das Netzwerk versendet.
Datensammlung
Datenversand
Der ursprüngliche Code der Peel Smart Remote wird durch ein Werkzeug (Proguard) verschleiert, das den Namen der Funktionen in Buchstaben ändert, wodurch sie schwerer zu entschlüsseln sind. In den letzten beiden Screenshots haben wir die verschleierten Namen durch Wörter ersetzt, die die Funktionen beschreiben, um das Verständnis zu erleichtern.
Anwendung ID
Package: tv.peel.smartremote
Version: 10.7.3.3
Installationen: 100 M+
Herausgeber: Peel Technologies
