Sicherheitspanne im Android-Appstore: Sauber testen, dreckig nachladen

Android ist aus Programmierersicht eine feine Sache: Während Apple in seinem iOS-Softwareladen jede Anwendung potenziell unter die Lupe nehmen und ablehnen kann, wenn dem Computerkonzern etwas nicht passt, fehlt es bei Googles zunehmend erfolgreichem mobilen Betriebssystem für Tablets und Smartphones an solchen Hürden. Das erlaubt einen deutlich schnelleren Einstellvorgang.

Das Problem: Die Freiheit, die Android bietet, nutzen immer häufiger auch Online-Ganoven, die Viren, Würmer und andere Schadsoftware verbreiten wollen. Entsprechend groß ist mittlerweile der Anteil, den Android im Sektor für mobile Malware einnimmt. Bei Apple rutschen zwar auch ab und an problematische Programme durch, doch das Google-System gilt Experten insgesamt als gefährdeter – zumal viele User nicht mit der neuesten Software-Version arbeiten, was weitere Sicherheitslücken aufreißt.

Um dem Problem beizukommen, setzt Google nicht auf Horden von Kontrolleuren, wie das Apple tut, sondern hat seit dem vergangenen Jahr eine Software namens „Bouncer“ in seinen App-Store eingebaut, die jede neueingestellte Anwendung auf problematische Inhalte absuchen soll. Der virtuelle Türsteher biete „ein automatisches Scanning des Android-Marktplatzes nach potenzieller Malware, ohne die Nutzererfahrung zu stören oder Entwickler zu verpflichten, einen Zulassungsprozess zu durchlaufen“, schrieb der Konzern zur Einführung stolz und behauptete gleich noch, dass die Zahl der Datenschädlinge, die sich Nutzer heruntergeladen hätten, zwischen der ersten und zweiten Jahreshälfte 2011 sogar um 40 Prozent heruntergegangen sei.

Allerdings scheint „Bouncer“ bei seiner Arbeit noch etwas zu freundlich vorzugehen. Wie Sicherheitsforscher des IT-Security-Unternehmens Trustwave auf der Hackerkonferenz "Black Hat" in der vergangenen Woche zeigten, gibt es Fälle, in denen der Türsteher Apps durchlässt, die glasklar Malware sind. Der Trick: Zunächst wurde eine harmlose Software hochgeladen, die nach und nach über interne Aktualisierungen zum Datenschädling umgebaut wurde.

Dabei ermittelten die Sicherheitsforscher zunächst einmal, von welchem Serveradressen aus „Bouncer“ vorgeht. Dann bauten sie ihr Programm so um, dass es nur dann bösartige Codeteile ausführte, wenn Nutzer es verwendeten, nicht aber Googles Türsteher. Allerdings wäre das wohl auch egal gewesen: Wie sich zeigte, reagierte „Bouncer“ auf den Schadcode erst dann, als es die Trustwave-Experten massiv übertrieben und das Telefonbuch des Benutzers jede Sekunde auf einen fremden Server hochluden. Zuvor hatten sie unter anderem Funktionen integriert, die Fotos und Telefon-ID klauten, eine Internet-Adresse mittels Denial-of-Service-Angriff attackierten oder die Liste der Anrufer stahlen.

Lieber den „Bouncer“ auf jedem Smartphone

Die Updates mit den Malware-Bestandteilen nahmen die Sicherheitsforscher über eine Methode vor, die auch bekannte Apps wie die von Facebook nutzen – dabei wird eine Anwendung im laufenden Betrieb auf den neuesten Stand gebracht, ohne dass man im Android-Marktplatz eine Aktualisierung herunterladen müsste. Der Nutzer bekommt davon nichts oder nur wenig mit, „Bouncer“ aber eben offenbar auch nicht.

Eine mögliche Lösung für das Problem sehen die Trustwave-Experten darin, eine lokale Version des virtuellen Türstehers auf jedem Android-Handy zu installieren - dann könnten auch so nachgeladene Routinen entdeckt werden. „Bouncer“ nutzt dagegen derzeit ein virtuelles Handy auf einem Server, um jede App zu prüfen, bekommt dabei aber offenbar das Nachladen nicht mit. Alternativ könnte Google den Vorgang an sich verbieten und jedes Update zwingend über den App Store laufen lassen, was Programmierern aber Freiheiten nehmen würde.

Marktbeobachter glauben, dass Google noch einiges tun muss, um seine Nutzer zu schützen. Nicolas Percoco, einer der Trustwave-Mitarbeiter, die das Problem untersuchten, fürchtet, dass es bald zu einer größeren Katastrophe kommen könnte, bei der Millionen von Nutzern von Malware betroffen sein könnten.