taz.de

       # taz.de -- Datensicherheit bei Smartphones: Crowdsourcing gegen böse Androiden
       
       > Die Zahl der schädlichen Apps für das mobile Betriebssystem Android
       > steigt und auch offizielle Apps haben ihre Tücken. Forscher machen nun
       > die Nutzer zu den Wächtern.
       
 (IMG) Bild: Auch die größte Freiheit hat ihre Schattenseiten.
       
       BERLIN taz | Eigentlich könnte alles so schön sein im Android-Lager:
       Googles Mobilbetriebssystem, das auf den Smartphones zahlloser großer
       Hersteller läuft, hat in manchen Ländern Apples einst marktführendes iPhone
       bereits überholt. Neben der Geräteauswahl aus Hunderten von Handys hat die
       Technik auch noch andere Vorteile: So geriert sich Google nicht als großer
       Wächter, wie es Apple tut – und verlangt auch nicht, jede einzelne neue
       Anwendung vor Zulassung in seinen App-Laden zu kontrollieren. Damit ist
       Android grundlegend freier, was die App-Auswahl durch den Nutzer anbetrifft
       – und auch das Aufspielen veränderter Betriebssysteme bekämpft der
       Internet-Konzern nicht wie Apple.
       
       Doch die große Freiheit hat auch ihre Schattenseiten. Wie
       IT-Sicherheitsunternehmen sagen, nahm die Anzahl von böswillig
       programmierten Apps, die es für die Plattform gibt, rasant zu. Im „Mobile
       Threat Report“ des Security-Spezialisten Juniper Networks kann man
       beispielsweise nachlesen, dass die Anzahl der eingesammelten
       Datenschädlingsproben für Android von Juli 2011 bis November 2011 um
       [1][472 Prozent zugenommen] hat.
       
       „In diesen Tagen sieht es so aus, als reiche es aus, sich einen
       Entwicklerzugang zu besorgen, der sich relativ leicht anonymisieren lässt,
       25 Dollar zu bezahlen und dann seine Anwendung online zu stellen“, so die
       Spezialisten. Zuletzt tauchte eine schädliche App sogar [2][in einer Kopie
       des populären Spiels "Angry Birds Space"] auf, die auf alternativen
       Android-Software-Marktplätzen vertrieben wurde.
       
       Eine Malware kann dabei je nach Geschicklichkeit ihres Entwicklers nahezu
       alles mit einem Smartphone anstellen – besonders dann, wenn sie sich
       sogenannte Root-Rechte sichert, was vollen Zugang auf das gesamte System
       bedeutet. Dann ist es möglich, SMS zu lesen und zu verschicken,
       Telefongespräche mitzulauschen oder die Position des Gerätes zu ermitteln.
       
       Wer Online-Banking über das Android-Gerät betreibt, könnte sein Konto
       entführt bekommen oder es wird auf seine Kosten und seine Kreditkarte in
       Googles App-Marktplatz eingekauft. Eine Malware mit Root-Rechten kann mehr
       mit dem Gerät anstellen, als der Nutzer selbst.
       
       ## Offizielle Apps unter der Lupe
       
       Während Google derzeit keine Anstalten unternimmt, das Problem über eine
       intensivere Eigenprüfung von Apps einzudämmen, wollen Forscher an der
       US-Hochschule Carnegie Mellon University (CMU) um den
       Computerwissenschaftler Jason Hong nun ein Crowdsourcing-Verfahren nutzen,
       um Android-Gefahren einzudämmen.
       
       Dabei werden interessierte Nutzer über die Plattform „Mechanical Turk“ dazu
       virtuell [3][„angestellt“], Android-Apps auf ihre Sicherheit zu checken.
       170 Menschen aus aller Welt machen bei dem Forschungsprojekt mit. Pro
       kontrollierter App werden 12 Cent gezahlt. Dabei geht es derzeit allerdings
       nur um Anwendungen aus dem offiziellen Google App-Laden – und die offiziell
       vom Plattform-Betreiber unterstützten Möglichkeiten. Doch auch die sind
       unter Umständen nicht ohne Probleme: So können Apps, denen man es erlaubt,
       beispielsweise auf das Adressbuch zugreifen, den Standort auslesen oder die
       Telefon- und SMS-Funktion nutzen.
       
       Dies gibt man über eine sogenannte Rechtevergabe bei der App-Installation
       frei. Da viele Nutzer aber nicht genau hinsehen, welche Rechte sie welcher
       App zugeteilt haben, wollen die CMU-Forscher die Kontrolle erleichtern: Ein
       einfach zu verstehendes Bewertungssystem soll demnächst auf einen Blick
       demonstrieren, was passiert.
       
       So kann man dann beispielsweise verhindern, dass eine einfache
       Taschenlampen-Anwendung, die nichts anderes tun soll, als den Bildschirm
       auf Weiß zu schalten, nicht auch gleichzeitig noch den Standort erfasst, um
       präzisere Online-Werbung ausliefern zu können. Das Crowdsourcing-Verfahren,
       meint Hong, könnte aber auch für tiefer gehende Sicherheitsüberprüfungen
       von Android-Programmen verwendet werden. Dazu arbeiten die CMU-Forscher
       gerade an einer neuen Software.
       
       11 Apr 2012
       
       ## LINKS
       
 (DIR) [1] http://www.schneier.com/blog/archives/2011/11/android_malware.html
 (DIR) [2] http://blog.mylookout.com/blog/2012/04/03/security-alert-new-variants-of-legacy-native-lena-identified/
 (DIR) [3] http://www.heise.de/tr/artikel/Mit-Crowdsourcing-zu-mehr-Privatsphaere-1517104.html
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA