# taz.de -- Sicherheitspanne im Android-Appstore: Sauber testen, dreckig nachladen
> Mit dem Programm „Bouncer“ wollte Google schädliche Software aus seinem
> Appstore tilgen. Doch Sicherheitsexperten zeigen nun, wie einfach es
> ausgetrickst werden kann.
(IMG) Bild: Nur oberflächlich geprüft: Bei Android ist viel los.
Android ist aus Programmierersicht eine feine Sache: Während Apple in
seinem iOS-Softwareladen jede Anwendung potenziell unter die Lupe nehmen
und ablehnen kann, wenn dem Computerkonzern etwas nicht passt, fehlt es bei
Googles zunehmend erfolgreichem mobilen Betriebssystem für Tablets und
Smartphones an solchen Hürden. Das erlaubt einen deutlich schnelleren
Einstellvorgang.
Das Problem: Die Freiheit, die Android bietet, nutzen immer häufiger auch
Online-Ganoven, die Viren, Würmer und andere Schadsoftware verbreiten
wollen. Entsprechend groß ist mittlerweile der Anteil, den Android im
Sektor für mobile Malware einnimmt. Bei Apple rutschen zwar auch ab und an
problematische Programme durch, doch das Google-System gilt Experten
insgesamt als gefährdeter – zumal viele User [1][nicht mit der neuesten
Software-Version] arbeiten, was weitere Sicherheitslücken aufreißt.
Um dem Problem beizukommen, setzt Google nicht auf Horden von
Kontrolleuren, wie das Apple tut, sondern hat seit dem vergangenen Jahr
eine [2][Software namens „Bouncer“] in seinen App-Store eingebaut, die jede
neueingestellte Anwendung auf problematische Inhalte absuchen soll. Der
virtuelle Türsteher biete „ein automatisches Scanning des
Android-Marktplatzes nach potenzieller Malware, ohne die Nutzererfahrung zu
stören oder Entwickler zu verpflichten, einen Zulassungsprozess zu
durchlaufen“, schrieb der Konzern zur Einführung stolz und behauptete
gleich noch, dass die Zahl der Datenschädlinge, die sich Nutzer
heruntergeladen hätten, zwischen der ersten und zweiten Jahreshälfte 2011
sogar um 40 Prozent heruntergegangen sei.
Allerdings scheint „Bouncer“ bei seiner Arbeit noch etwas zu freundlich
vorzugehen. Wie Sicherheitsforscher des IT-Security-Unternehmens Trustwave
auf der Hackerkonferenz [3]["Black Hat"] in der vergangenen Woche zeigten,
gibt es Fälle, in denen der Türsteher Apps durchlässt, die glasklar Malware
sind. Der Trick: Zunächst wurde eine harmlose Software hochgeladen, die
nach und nach über interne Aktualisierungen zum Datenschädling umgebaut
wurde.
Dabei ermittelten die Sicherheitsforscher zunächst einmal, von welchem
Serveradressen aus „Bouncer“ vorgeht. Dann bauten sie ihr Programm so um,
dass es nur dann bösartige Codeteile ausführte, wenn Nutzer es verwendeten,
nicht aber Googles Türsteher. Allerdings wäre das wohl auch egal gewesen:
Wie sich zeigte, reagierte „Bouncer“ auf den Schadcode erst dann, als es
die Trustwave-Experten massiv übertrieben und das Telefonbuch des Benutzers
jede Sekunde auf einen fremden Server hochluden. Zuvor hatten sie unter
anderem Funktionen integriert, die Fotos und Telefon-ID klauten, eine
Internet-Adresse mittels Denial-of-Service-Angriff attackierten oder die
Liste der Anrufer stahlen.
## Lieber den „Bouncer“ auf jedem Smartphone
Die Updates mit den Malware-Bestandteilen nahmen die Sicherheitsforscher
über eine Methode vor, die auch bekannte Apps wie die von Facebook nutzen –
dabei wird eine Anwendung im laufenden Betrieb auf den neuesten Stand
gebracht, ohne dass man im Android-Marktplatz eine Aktualisierung
herunterladen müsste. Der Nutzer bekommt davon nichts oder nur wenig mit,
„Bouncer“ aber eben offenbar auch nicht.
Eine mögliche Lösung für das Problem sehen die Trustwave-Experten darin,
eine lokale Version des virtuellen Türstehers auf jedem Android-Handy zu
installieren - dann könnten auch so nachgeladene Routinen entdeckt werden.
„Bouncer“ nutzt dagegen derzeit ein virtuelles Handy auf einem Server, um
jede App zu prüfen, bekommt dabei aber offenbar das Nachladen nicht mit.
Alternativ könnte Google den Vorgang an sich verbieten und jedes Update
zwingend über den App Store laufen lassen, was Programmierern aber
Freiheiten nehmen würde.
Marktbeobachter glauben, dass Google noch einiges tun muss, um seine Nutzer
zu schützen. Nicolas Percoco, einer der Trustwave-Mitarbeiter, die das
Problem untersuchten, fürchtet, dass es bald zu einer größeren Katastrophe
kommen könnte, bei der Millionen von Nutzern von Malware betroffen sein
könnten.
30 Jul 2012
## LINKS
(DIR) [1] /Sicherheit-bei-Smartphones/!92455/
(DIR) [2] http://googlemobile.blogspot.no/2012/02/android-and-security.html
(DIR) [3] https://www.blackhat.com/html/bh-us-12/
## AUTOREN
(DIR) Ben Schwan
## TAGS
(DIR) Datenschutz
## ARTIKEL ZUM THEMA
(DIR) Sicherheitsrisiko Smartphone: Die Furcht vor den Apps
Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten.
Verbraucherministerin Aigner reagiert nur sehr verhalten auf
Datenschutzbedenken.
(DIR) SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp
Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der
Anwendung für Handy-Betriebssysteme gibt es Mängel.
(DIR) Einigung im Datenklau-Streit: SAP zahlt 300 Millionen an Oracle
Die Rivalen SAP und Oracle haben sich geeinigt. SAP muss zahlen, allein 120
Millionen Dollar an Anwaltshonoraren. Der jahrelange Rechtsstreit ist
beigelegt – vorerst.
(DIR) Google präsentiert eigenen Tablet-Rechner: Angriff auf Amazon und Apple
Google mischt nun auch im Tabletmarkt mit: Das neue Nexus 7 sieht aus wie
der Kindle Fire und ist wesentlich billiger als ein iPad. Nur bei den
Inhalten kann es noch nicht mithalten.
(DIR) Betriebssystem Android: Google verliert den Überblick
Mittlerweile gibt es fast 4.000 verschiedene Mobilgeräte mit Googles
Betriebssystem „Android“. Kunden haben so zwar mehr Auswahl, aber auch
anfälligere Rechner.
(DIR) Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden
Die Zahl der schädlichen Apps für das mobile Betriebssystem Android steigt
und auch offizielle Apps haben ihre Tücken. Forscher machen nun die Nutzer
zu den Wächtern.