Sicherheitspanne im Android-Appstore: Sauber testen, dreckig nachladen
Mit dem Programm „Bouncer“ wollte Google schädliche Software aus seinem Appstore tilgen. Doch Sicherheitsexperten zeigen nun, wie einfach es ausgetrickst werden kann.
Android ist aus Programmierersicht eine feine Sache: Während Apple in seinem iOS-Softwareladen jede Anwendung potenziell unter die Lupe nehmen und ablehnen kann, wenn dem Computerkonzern etwas nicht passt, fehlt es bei Googles zunehmend erfolgreichem mobilen Betriebssystem für Tablets und Smartphones an solchen Hürden. Das erlaubt einen deutlich schnelleren Einstellvorgang.
Das Problem: Die Freiheit, die Android bietet, nutzen immer häufiger auch Online-Ganoven, die Viren, Würmer und andere Schadsoftware verbreiten wollen. Entsprechend groß ist mittlerweile der Anteil, den Android im Sektor für mobile Malware einnimmt. Bei Apple rutschen zwar auch ab und an problematische Programme durch, doch das Google-System gilt Experten insgesamt als gefährdeter – zumal viele User nicht mit der neuesten Software-Version arbeiten, was weitere Sicherheitslücken aufreißt.
Um dem Problem beizukommen, setzt Google nicht auf Horden von Kontrolleuren, wie das Apple tut, sondern hat seit dem vergangenen Jahr eine Software namens „Bouncer“ in seinen App-Store eingebaut, die jede neueingestellte Anwendung auf problematische Inhalte absuchen soll. Der virtuelle Türsteher biete „ein automatisches Scanning des Android-Marktplatzes nach potenzieller Malware, ohne die Nutzererfahrung zu stören oder Entwickler zu verpflichten, einen Zulassungsprozess zu durchlaufen“, schrieb der Konzern zur Einführung stolz und behauptete gleich noch, dass die Zahl der Datenschädlinge, die sich Nutzer heruntergeladen hätten, zwischen der ersten und zweiten Jahreshälfte 2011 sogar um 40 Prozent heruntergegangen sei.
Allerdings scheint „Bouncer“ bei seiner Arbeit noch etwas zu freundlich vorzugehen. Wie Sicherheitsforscher des IT-Security-Unternehmens Trustwave auf der Hackerkonferenz "Black Hat" in der vergangenen Woche zeigten, gibt es Fälle, in denen der Türsteher Apps durchlässt, die glasklar Malware sind. Der Trick: Zunächst wurde eine harmlose Software hochgeladen, die nach und nach über interne Aktualisierungen zum Datenschädling umgebaut wurde.
Dabei ermittelten die Sicherheitsforscher zunächst einmal, von welchem Serveradressen aus „Bouncer“ vorgeht. Dann bauten sie ihr Programm so um, dass es nur dann bösartige Codeteile ausführte, wenn Nutzer es verwendeten, nicht aber Googles Türsteher. Allerdings wäre das wohl auch egal gewesen: Wie sich zeigte, reagierte „Bouncer“ auf den Schadcode erst dann, als es die Trustwave-Experten massiv übertrieben und das Telefonbuch des Benutzers jede Sekunde auf einen fremden Server hochluden. Zuvor hatten sie unter anderem Funktionen integriert, die Fotos und Telefon-ID klauten, eine Internet-Adresse mittels Denial-of-Service-Angriff attackierten oder die Liste der Anrufer stahlen.
Lieber den „Bouncer“ auf jedem Smartphone
Die Updates mit den Malware-Bestandteilen nahmen die Sicherheitsforscher über eine Methode vor, die auch bekannte Apps wie die von Facebook nutzen – dabei wird eine Anwendung im laufenden Betrieb auf den neuesten Stand gebracht, ohne dass man im Android-Marktplatz eine Aktualisierung herunterladen müsste. Der Nutzer bekommt davon nichts oder nur wenig mit, „Bouncer“ aber eben offenbar auch nicht.
Eine mögliche Lösung für das Problem sehen die Trustwave-Experten darin, eine lokale Version des virtuellen Türstehers auf jedem Android-Handy zu installieren - dann könnten auch so nachgeladene Routinen entdeckt werden. „Bouncer“ nutzt dagegen derzeit ein virtuelles Handy auf einem Server, um jede App zu prüfen, bekommt dabei aber offenbar das Nachladen nicht mit. Alternativ könnte Google den Vorgang an sich verbieten und jedes Update zwingend über den App Store laufen lassen, was Programmierern aber Freiheiten nehmen würde.
Marktbeobachter glauben, dass Google noch einiges tun muss, um seine Nutzer zu schützen. Nicolas Percoco, einer der Trustwave-Mitarbeiter, die das Problem untersuchten, fürchtet, dass es bald zu einer größeren Katastrophe kommen könnte, bei der Millionen von Nutzern von Malware betroffen sein könnten.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Pelicot-Prozess und Rape Culture
Der Vergewaltiger sind wir
++ Nachrichten zum Umsturz in Syrien ++
Baerbock warnt „Assads Folterknechte“
Mord an UnitedHealthcare-CEO
Gewalt erzeugt Gewalt
Trendvokabel 2024
Gelebte Demutkratie
100 Jahre Verkehrsampeln
Wider das gängelnde Rot
Rechtsextreme Demo in Friedrichshain
Antifa, da geht noch was