Android Market: Risiko durch Ferninstallation [Update]

Die Möglichkeit, Apps über den Webstore von Android Market zu installieren, ist zwar praktisch. Sie erleichert Kriminellen aber auch den Angriff auf Android-Geräte.

In Pocket speichern vorlesen Druckansicht 131 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Googles Neugestaltung des Android Markets ermöglicht Android-Anwendern, den Download und die Installation von Apps direkt vom PC aus über den Webstore anzustoßen. Dafür ist nur der Login in das Google-Mail-Konto notwendig, mit dem das Android-Smartphone an den Market gekoppelt ist.

Das ist zwar praktisch, leider fragt das Smartphone aber nicht erneut um Erlaubnis, ob es die App installieren soll. Ein Angreifer könnte beispielsweise mit per Trojanern gestohlenen Google-Mail-Zugangsdaten eine zuvor selbst im Android Market platzierte App aus der Ferne auf einem Gerät installieren. Auf diese Weise könnte die Infektion des heimischen PCs mit einer Infektion des Smartphones einhergehen – Banking-Trojaner wie ZeuS bewerkstelligen dies bereits auf eine etwas andere Weise.

[Update]Die einzige Hürde einer erfolgreichen Infektion eines Android-Gerätes über den Market war im Test der heise-Security-Redaktion die Unfähigkeit von Android-Apps, sich nach der Installation selbst zu starten. Ein Angreifer könnte den Anwender aber dazu bringen, die App manuell zu starten, indem er eine Mail an ihn sendet, in der er die App besonders schmackthaft macht. Auf einen Hinweis wie "In Android 2.2 ist ein geheimer Level Angry Birds bereits vorinstalliert" könnten Anwender leicht hereinfallen.

Um die App nach der Installation zu starten, ist keine direkte Nutzerinteraktion notwendig. Im Manifest der App lässt sich festlegen, auf welche Ereignisse sie reagieren soll. So führt etwa das Verlassen des Standby-Modes zu einem Broadcast (ACTION_USER_PRESENT). Ist die App dafür als Receiver eingetragen, wird sie automatisch ausgeführt. [/Update]

Den einzigen Hinweis auf ungewollte Aktivitäten liefert Android in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren. Der AV-Hersteller Kaspersky kritisiert die Ferninstallation in seinem Blog und fordert eine Option im Smartphone, um diese Möglichkeit zu deaktivieren.

Im Vorfeld des am morgigen stattfindenden Safer Internet Day hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zunehmenden Angriffen auf Smartphones gewarnt. Behördenchef Michael Hange zeigte sich besorgt über das Risiko von Angriffen auf Handys, Smartphones und Tablet-Computer. "Mobile Geräte sind schon allein aufgrund ihrer zunehmenden Beliebtheit und Verbreitung für jeden Kriminellen ein attraktives Angriffsziel", erklärt der Experte für Computersicherheit. Gefährdet sei nicht nur die Vertraulichkeit von Telefongesprächen und Daten, sondern die ganze Palette von Anwendungen, angefangen beim Adressbuch über das Abhören von Raumgesprächen bis hin zur Positionsbestimmung des Nutzers. (dab)