Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden

BERLIN taz | Eigentlich könnte alles so schön sein im Android-Lager: Googles Mobilbetriebssystem, das auf den Smartphones zahlloser großer Hersteller läuft, hat in manchen Ländern Apples einst marktführendes iPhone bereits überholt. Neben der Geräteauswahl aus Hunderten von Handys hat die Technik auch noch andere Vorteile: So geriert sich Google nicht als großer Wächter, wie es Apple tut – und verlangt auch nicht, jede einzelne neue Anwendung vor Zulassung in seinen App-Laden zu kontrollieren. Damit ist Android grundlegend freier, was die App-Auswahl durch den Nutzer anbetrifft – und auch das Aufspielen veränderter Betriebssysteme bekämpft der Internet-Konzern nicht wie Apple.

Doch die große Freiheit hat auch ihre Schattenseiten. Wie IT-Sicherheitsunternehmen sagen, nahm die Anzahl von böswillig programmierten Apps, die es für die Plattform gibt, rasant zu. Im „Mobile Threat Report“ des Security-Spezialisten Juniper Networks kann man beispielsweise nachlesen, dass die Anzahl der eingesammelten Datenschädlingsproben für Android von Juli 2011 bis November 2011 um 472 Prozent zugenommen hat.

„In diesen Tagen sieht es so aus, als reiche es aus, sich einen Entwicklerzugang zu besorgen, der sich relativ leicht anonymisieren lässt, 25 Dollar zu bezahlen und dann seine Anwendung online zu stellen“, so die Spezialisten. Zuletzt tauchte eine schädliche App sogar in einer Kopie des populären Spiels "Angry Birds Space" auf, die auf alternativen Android-Software-Marktplätzen vertrieben wurde.

Eine Malware kann dabei je nach Geschicklichkeit ihres Entwicklers nahezu alles mit einem Smartphone anstellen – besonders dann, wenn sie sich sogenannte Root-Rechte sichert, was vollen Zugang auf das gesamte System bedeutet. Dann ist es möglich, SMS zu lesen und zu verschicken, Telefongespräche mitzulauschen oder die Position des Gerätes zu ermitteln.

Wer Online-Banking über das Android-Gerät betreibt, könnte sein Konto entführt bekommen oder es wird auf seine Kosten und seine Kreditkarte in Googles App-Marktplatz eingekauft. Eine Malware mit Root-Rechten kann mehr mit dem Gerät anstellen, als der Nutzer selbst.

Offizielle Apps unter der Lupe

Während Google derzeit keine Anstalten unternimmt, das Problem über eine intensivere Eigenprüfung von Apps einzudämmen, wollen Forscher an der US-Hochschule Carnegie Mellon University (CMU) um den Computerwissenschaftler Jason Hong nun ein Crowdsourcing-Verfahren nutzen, um Android-Gefahren einzudämmen.

Dabei werden interessierte Nutzer über die Plattform „Mechanical Turk“ dazu virtuell „angestellt“, Android-Apps auf ihre Sicherheit zu checken. 170 Menschen aus aller Welt machen bei dem Forschungsprojekt mit. Pro kontrollierter App werden 12 Cent gezahlt. Dabei geht es derzeit allerdings nur um Anwendungen aus dem offiziellen Google App-Laden – und die offiziell vom Plattform-Betreiber unterstützten Möglichkeiten. Doch auch die sind unter Umständen nicht ohne Probleme: So können Apps, denen man es erlaubt, beispielsweise auf das Adressbuch zugreifen, den Standort auslesen oder die Telefon- und SMS-Funktion nutzen.

Dies gibt man über eine sogenannte Rechtevergabe bei der App-Installation frei. Da viele Nutzer aber nicht genau hinsehen, welche Rechte sie welcher App zugeteilt haben, wollen die CMU-Forscher die Kontrolle erleichtern: Ein einfach zu verstehendes Bewertungssystem soll demnächst auf einen Blick demonstrieren, was passiert.

So kann man dann beispielsweise verhindern, dass eine einfache Taschenlampen-Anwendung, die nichts anderes tun soll, als den Bildschirm auf Weiß zu schalten, nicht auch gleichzeitig noch den Standort erfasst, um präzisere Online-Werbung ausliefern zu können. Das Crowdsourcing-Verfahren, meint Hong, könnte aber auch für tiefer gehende Sicherheitsüberprüfungen von Android-Programmen verwendet werden. Dazu arbeiten die CMU-Forscher gerade an einer neuen Software.