 |
# taz.de -- Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden |
|
|
|
> Die Zahl der schädlichen Apps für das mobile Betriebssystem Android |
|
> steigt und auch offizielle Apps haben ihre Tücken. Forscher machen nun |
|
> die Nutzer zu den Wächtern. |
|
|
 |
Bild: Auch die größte Freiheit hat ihre Schattenseiten. |
|
|
|
BERLIN taz | Eigentlich könnte alles so schön sein im Android-Lager: |
|
Googles Mobilbetriebssystem, das auf den Smartphones zahlloser großer |
|
Hersteller läuft, hat in manchen Ländern Apples einst marktführendes iPhone |
|
bereits überholt. Neben der Geräteauswahl aus Hunderten von Handys hat die |
|
Technik auch noch andere Vorteile: So geriert sich Google nicht als großer |
|
Wächter, wie es Apple tut – und verlangt auch nicht, jede einzelne neue |
|
Anwendung vor Zulassung in seinen App-Laden zu kontrollieren. Damit ist |
|
Android grundlegend freier, was die App-Auswahl durch den Nutzer anbetrifft |
|
– und auch das Aufspielen veränderter Betriebssysteme bekämpft der |
|
Internet-Konzern nicht wie Apple. |
|
|
|
Doch die große Freiheit hat auch ihre Schattenseiten. Wie |
|
IT-Sicherheitsunternehmen sagen, nahm die Anzahl von böswillig |
|
programmierten Apps, die es für die Plattform gibt, rasant zu. Im „Mobile |
|
Threat Report“ des Security-Spezialisten Juniper Networks kann man |
|
beispielsweise nachlesen, dass die Anzahl der eingesammelten |
|
Datenschädlingsproben für Android von Juli 2011 bis November 2011 um |
|
[1][472 Prozent zugenommen] hat. |
|
|
|
„In diesen Tagen sieht es so aus, als reiche es aus, sich einen |
|
Entwicklerzugang zu besorgen, der sich relativ leicht anonymisieren lässt, |
|
25 Dollar zu bezahlen und dann seine Anwendung online zu stellen“, so die |
|
Spezialisten. Zuletzt tauchte eine schädliche App sogar [2][in einer Kopie |
|
des populären Spiels "Angry Birds Space"] auf, die auf alternativen |
|
Android-Software-Marktplätzen vertrieben wurde. |
|
|
|
Eine Malware kann dabei je nach Geschicklichkeit ihres Entwicklers nahezu |
|
alles mit einem Smartphone anstellen – besonders dann, wenn sie sich |
|
sogenannte Root-Rechte sichert, was vollen Zugang auf das gesamte System |
|
bedeutet. Dann ist es möglich, SMS zu lesen und zu verschicken, |
|
Telefongespräche mitzulauschen oder die Position des Gerätes zu ermitteln. |
|
|
|
Wer Online-Banking über das Android-Gerät betreibt, könnte sein Konto |
|
entführt bekommen oder es wird auf seine Kosten und seine Kreditkarte in |
|
Googles App-Marktplatz eingekauft. Eine Malware mit Root-Rechten kann mehr |
|
mit dem Gerät anstellen, als der Nutzer selbst. |
|
|
|
## Offizielle Apps unter der Lupe |
|
|
|
Während Google derzeit keine Anstalten unternimmt, das Problem über eine |
|
intensivere Eigenprüfung von Apps einzudämmen, wollen Forscher an der |
|
US-Hochschule Carnegie Mellon University (CMU) um den |
|
Computerwissenschaftler Jason Hong nun ein Crowdsourcing-Verfahren nutzen, |
|
um Android-Gefahren einzudämmen. |
|
|
|
Dabei werden interessierte Nutzer über die Plattform „Mechanical Turk“ dazu |
|
virtuell [3][„angestellt“], Android-Apps auf ihre Sicherheit zu checken. |
|
170 Menschen aus aller Welt machen bei dem Forschungsprojekt mit. Pro |
|
kontrollierter App werden 12 Cent gezahlt. Dabei geht es derzeit allerdings |
|
nur um Anwendungen aus dem offiziellen Google App-Laden – und die offiziell |
|
vom Plattform-Betreiber unterstützten Möglichkeiten. Doch auch die sind |
|
unter Umständen nicht ohne Probleme: So können Apps, denen man es erlaubt, |
|
beispielsweise auf das Adressbuch zugreifen, den Standort auslesen oder die |
|
Telefon- und SMS-Funktion nutzen. |
|
|
|
Dies gibt man über eine sogenannte Rechtevergabe bei der App-Installation |
|
frei. Da viele Nutzer aber nicht genau hinsehen, welche Rechte sie welcher |
|
App zugeteilt haben, wollen die CMU-Forscher die Kontrolle erleichtern: Ein |
|
einfach zu verstehendes Bewertungssystem soll demnächst auf einen Blick |
|
demonstrieren, was passiert. |
|
|
|
So kann man dann beispielsweise verhindern, dass eine einfache |
|
Taschenlampen-Anwendung, die nichts anderes tun soll, als den Bildschirm |
|
auf Weiß zu schalten, nicht auch gleichzeitig noch den Standort erfasst, um |
|
präzisere Online-Werbung ausliefern zu können. Das Crowdsourcing-Verfahren, |
|
meint Hong, könnte aber auch für tiefer gehende Sicherheitsüberprüfungen |
|
von Android-Programmen verwendet werden. Dazu arbeiten die CMU-Forscher |
|
gerade an einer neuen Software. |
|
|
|
11 Apr 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.schneier.com/blog/archives/2011/11/android_malware.html |
|
[2] http://blog.mylookout.com/blog/2012/04/03/security-alert-new-variants-of-le… |
|
[3] http://www.heise.de/tr/artikel/Mit-Crowdsourcing-zu-mehr-Privatsphaere-1517… |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
