 |
# taz.de -- Sicherheitspanne im Android-Appstore: Sauber testen, dreckig nachla… |
|
|
|
> Mit dem Programm „Bouncer“ wollte Google schädliche Software aus seinem |
|
> Appstore tilgen. Doch Sicherheitsexperten zeigen nun, wie einfach es |
|
> ausgetrickst werden kann. |
|
|
 |
Bild: Nur oberflächlich geprüft: Bei Android ist viel los. |
|
|
|
Android ist aus Programmierersicht eine feine Sache: Während Apple in |
|
seinem iOS-Softwareladen jede Anwendung potenziell unter die Lupe nehmen |
|
und ablehnen kann, wenn dem Computerkonzern etwas nicht passt, fehlt es bei |
|
Googles zunehmend erfolgreichem mobilen Betriebssystem für Tablets und |
|
Smartphones an solchen Hürden. Das erlaubt einen deutlich schnelleren |
|
Einstellvorgang. |
|
|
|
Das Problem: Die Freiheit, die Android bietet, nutzen immer häufiger auch |
|
Online-Ganoven, die Viren, Würmer und andere Schadsoftware verbreiten |
|
wollen. Entsprechend groß ist mittlerweile der Anteil, den Android im |
|
Sektor für mobile Malware einnimmt. Bei Apple rutschen zwar auch ab und an |
|
problematische Programme durch, doch das Google-System gilt Experten |
|
insgesamt als gefährdeter – zumal viele User [1][nicht mit der neuesten |
|
Software-Version] arbeiten, was weitere Sicherheitslücken aufreißt. |
|
|
|
Um dem Problem beizukommen, setzt Google nicht auf Horden von |
|
Kontrolleuren, wie das Apple tut, sondern hat seit dem vergangenen Jahr |
|
eine [2][Software namens „Bouncer“] in seinen App-Store eingebaut, die jede |
|
neueingestellte Anwendung auf problematische Inhalte absuchen soll. Der |
|
virtuelle Türsteher biete „ein automatisches Scanning des |
|
Android-Marktplatzes nach potenzieller Malware, ohne die Nutzererfahrung zu |
|
stören oder Entwickler zu verpflichten, einen Zulassungsprozess zu |
|
durchlaufen“, schrieb der Konzern zur Einführung stolz und behauptete |
|
gleich noch, dass die Zahl der Datenschädlinge, die sich Nutzer |
|
heruntergeladen hätten, zwischen der ersten und zweiten Jahreshälfte 2011 |
|
sogar um 40 Prozent heruntergegangen sei. |
|
|
|
Allerdings scheint „Bouncer“ bei seiner Arbeit noch etwas zu freundlich |
|
vorzugehen. Wie Sicherheitsforscher des IT-Security-Unternehmens Trustwave |
|
auf der Hackerkonferenz [3]["Black Hat"] in der vergangenen Woche zeigten, |
|
gibt es Fälle, in denen der Türsteher Apps durchlässt, die glasklar Malware |
|
sind. Der Trick: Zunächst wurde eine harmlose Software hochgeladen, die |
|
nach und nach über interne Aktualisierungen zum Datenschädling umgebaut |
|
wurde. |
|
|
|
Dabei ermittelten die Sicherheitsforscher zunächst einmal, von welchem |
|
Serveradressen aus „Bouncer“ vorgeht. Dann bauten sie ihr Programm so um, |
|
dass es nur dann bösartige Codeteile ausführte, wenn Nutzer es verwendeten, |
|
nicht aber Googles Türsteher. Allerdings wäre das wohl auch egal gewesen: |
|
Wie sich zeigte, reagierte „Bouncer“ auf den Schadcode erst dann, als es |
|
die Trustwave-Experten massiv übertrieben und das Telefonbuch des Benutzers |
|
jede Sekunde auf einen fremden Server hochluden. Zuvor hatten sie unter |
|
anderem Funktionen integriert, die Fotos und Telefon-ID klauten, eine |
|
Internet-Adresse mittels Denial-of-Service-Angriff attackierten oder die |
|
Liste der Anrufer stahlen. |
|
|
|
## Lieber den „Bouncer“ auf jedem Smartphone |
|
|
|
Die Updates mit den Malware-Bestandteilen nahmen die Sicherheitsforscher |
|
über eine Methode vor, die auch bekannte Apps wie die von Facebook nutzen – |
|
dabei wird eine Anwendung im laufenden Betrieb auf den neuesten Stand |
|
gebracht, ohne dass man im Android-Marktplatz eine Aktualisierung |
|
herunterladen müsste. Der Nutzer bekommt davon nichts oder nur wenig mit, |
|
„Bouncer“ aber eben offenbar auch nicht. |
|
|
|
Eine mögliche Lösung für das Problem sehen die Trustwave-Experten darin, |
|
eine lokale Version des virtuellen Türstehers auf jedem Android-Handy zu |
|
installieren - dann könnten auch so nachgeladene Routinen entdeckt werden. |
|
„Bouncer“ nutzt dagegen derzeit ein virtuelles Handy auf einem Server, um |
|
jede App zu prüfen, bekommt dabei aber offenbar das Nachladen nicht mit. |
|
Alternativ könnte Google den Vorgang an sich verbieten und jedes Update |
|
zwingend über den App Store laufen lassen, was Programmierern aber |
|
Freiheiten nehmen würde. |
|
|
|
Marktbeobachter glauben, dass Google noch einiges tun muss, um seine Nutzer |
|
zu schützen. Nicolas Percoco, einer der Trustwave-Mitarbeiter, die das |
|
Problem untersuchten, fürchtet, dass es bald zu einer größeren Katastrophe |
|
kommen könnte, bei der Millionen von Nutzern von Malware betroffen sein |
|
könnten. |
|
|
|
30 Jul 2012 |
|
|
|
## LINKS |
|
|
 |
[1] /Sicherheit-bei-Smartphones/!92455/ |
|
[2] http://googlemobile.blogspot.no/2012/02/android-and-security.html |
|
[3] https://www.blackhat.com/html/bh-us-12/ |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Datenschutz |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Sicherheitsrisiko Smartphone: Die Furcht vor den Apps |
|
|
|
Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten. |
|
Verbraucherministerin Aigner reagiert nur sehr verhalten auf |
|
Datenschutzbedenken. |
|
|
|
SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp |
|
|
|
Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der |
|
Anwendung für Handy-Betriebssysteme gibt es Mängel. |
|
|
|
Einigung im Datenklau-Streit: SAP zahlt 300 Millionen an Oracle |
|
|
|
Die Rivalen SAP und Oracle haben sich geeinigt. SAP muss zahlen, allein 120 |
|
Millionen Dollar an Anwaltshonoraren. Der jahrelange Rechtsstreit ist |
|
beigelegt – vorerst. |
|
|
|
Google präsentiert eigenen Tablet-Rechner: Angriff auf Amazon und Apple |
|
|
|
Google mischt nun auch im Tabletmarkt mit: Das neue Nexus 7 sieht aus wie |
|
der Kindle Fire und ist wesentlich billiger als ein iPad. Nur bei den |
|
Inhalten kann es noch nicht mithalten. |
|
|
|
Betriebssystem Android: Google verliert den Überblick |
|
|
|
Mittlerweile gibt es fast 4.000 verschiedene Mobilgeräte mit Googles |
|
Betriebssystem „Android“. Kunden haben so zwar mehr Auswahl, aber auch |
|
anfälligere Rechner. |
|
|
|
Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden |
|
|
|
Die Zahl der schädlichen Apps für das mobile Betriebssystem Android steigt |
|
und auch offizielle Apps haben ihre Tücken. Forscher machen nun die Nutzer |
|
zu den Wächtern. |
