Unzuverlässige Trojaner-Warnungen durch Android 4.2

Nur 15 Prozent der in einer Analyse eingesetzten Schadsoftware hat der mit Googles Betriebssystem Jelly Bean (Android 4.2) kommende App Verification Service entdeckt. Der neue Android-Reputationsdienst warnt Nutzer vor bösen Apps, indem er vor der Installation SHA1-Hashes – eine Art Fingerabdrücke der Apps – und Paketdaten der Programme an den Cloud-basierten Verifizierungs-Server schickt und dessen Beurteilung einholt.

Der Server vergleicht die Apps mit bereits identifizierter Malware in der Datenbank und Jelly Bean gibt daraufhin dem Nutzer Verhaltenstipps. Wissenschaftler von der North Carolina State University (NCSU) ließen Googles neues Android-Sicherheitssystem nun im Test gegen herkömmliche Antivirenprogramme für Smartphones antreten. Diese schnitten dabei deutlich besser ab.

Xuxian Jiang, Privatdozent an der NCSU hat mit seinem Studenten Yajin Zhou das Android Malware Genom Project ins Leben gerufen, aus dessen Schädlingsdatenbank er die Schadsoftware für den Test bezog. 1.260 Malware-Exemplare aus 49 Familien ließ er auf den App Service los. Antiviren-Software wie die von Avast, AVG, TrendMicro, Symantec, BitDefender, ClamAV, F-Secure, Fortinet, Kaspersky und Kingsoft wurden mittels Googles VirusTotal in den Test einbezogen.

Das Ergebnis für das Android-Sicherheitssystem fällt im Vergleich schlecht aus: 85 Prozent der Malware hätte von Nutzern ahnungslos installiert werden können – nur 15 Prozent wurden als Schadsoftware identifiziert. Zwei Antivirenprogramme konnten dahingegen 100 Prozent der Schadsoftware entdecken.

Jiang kritisiert den Service deutlich. Dass der Verifizierungs-Service „hauptsächlich einen SHA1-Wert und den Paket-Namen nutzt, um festzustellen, ob die Schadsoftware gefährlich oder wahrscheinlich gefährlich ist“, ist ein „zu schwacher Mechanismus, der leicht umgangen werden kann“. Der SHA1-Hash, also der Fingerabdruck der Software, kann zum Beispiel schon dadurch geändert werden, dass anstelle eines Großbuchstaben ein kleiner eingesetzt wird.

Dieses Verfahren ist naturgemäß dem Signatur-Verfahren von Antiviren-Software unterlegen. Bei Viren-Signaturen bauen die Hersteller zwar auch Fingerabdrücke – aber die werden so gewählt, dass sie sich auf möglichst relevante Teile des Codes beziehen, also nicht ganz so einfach auszutricksen sind. Bei den Windows-Schädlingen sieht man allerdings bereits, dass sich auch solche Signatur-Verfahren einfach austricksen lassen – wenn sich die Trojaner-Autoren die Mühe machen, das systematisch zu tun. Doch dazu haben sie im Smartphone-Bereich bislang wenig Grund.

Doch trotz der bescheidenen Testergebnisse verteufelt Jiang den App-Verifizierungs-Service nicht, sondern lobt die Bemühungen von Google: Das Sicherheitssystem sei momentan erst "im Entstehen" und könne weiterentwickelt werden. Neben der Verbesserung der Erkennungs-Mechanismen in der Cloud solle Google darüber nachdenken, sein eigenes Programm VirusTotal zusätzlich zum App Verification Service einzusetzen.

Update: 12.12.2012, 16:15 Uhr: Wir haben die Beschreibung des Testverfahrens geändert. Um die Vergleichszahlen der Antivirenprogramme zu ermitteln, haben die Forscher jeweils ein Exemplar der 49 Schädlingsfamilien bei VirusTotal hochgeladen und die von dem Dienst angezeigten Scan-Ergebnisse ausgewertet. Es wurden keine Tests mit Antiviren-Software für Smartphones durchgeführt. (kbe)