Unsichere Androiden

Die große Anzahl von Geräten, auf denen Googles mobiles Betriebssystem läuft, erschwert das Abdichten von Sicherheitslücken.

Mitte Februar stellte ein zuvor unbekannter Entwickler zahlreiche kostenlose Anwendungen für das Smartphone-Betriebssystem Android ins Netz. Sie trugen harmlos klingende Titel wie "Bowling Time", "Super Guitar Solo" oder "Dice Roller" und wurden tausendfach heruntergeladen.

Zwei Wochen später entdeckte dann ein Blogger, dass die in Googles offiziellen "Android Market" eingestellten Apps eigentlich trojanische Pferde waren: Sie enthielten bösartigen Code namens "DroidDream", der darauf spezialisiert war, Android-Geräte zu infiltrieren. Dabei wurde eine Software-Hintertür geschaffen, über die der Angreifer jederzeit neue Schadprogramme nachladen konnte.

Am 1. März reagierte dann auch Google: Das Unternehmen entfernte insgesamt 58 Anwendungen, die DroidDream enthielten, aus dem Android Market. Rund 260.000 Geräte seien wohl befallen worden, hieß es von der Firma, obwohl angeblich "keine persönlichen Informationen kompromittiert worden" seien. Google nutzte anschließend eine in Android enthaltene Funktion, mit der sich Malware von infizierten Geräten aus der Ferne löschen lässt.

Doch auch danach blieben noch fast die Hälfte aller Android-Nutzer weiterhin anfällig für die von DroidDream ausgenutzte Sicherheitslücke. "Googles "Fix" entfernt zwar das Programmpaket, das den Fehler ausgenutzt hat, stopft aber nicht das dafür verantwortliche Loch", sagt Kevin Mahaffey, Technikchef bei Lookout, einem auf Mobilgeräte spezialisierten IT-Sicherheitsunternehmen, das DroidDream analysiert hat.

Bei Android hat jeder Gerätehersteller seine eigene Unterversion ("Build") des Android-Betriebssystems, damit sich beispielsweise eine eigens angepasste Benutzerschnittstelle, die optische Gestaltung sowie das Branding festlegen lassen. Obwohl Google mittlerweile ein Android-Update ausgeliefert hat, das den Bug kurz nach seiner Entdeckung behob, kam das kaum auf Geräten an: Bis vor kurzem liefen noch auf 42 Prozent aller Android-Handys anfällige Versionen.

Damit die Geräte abgedichtet werden können, müssen die Hardware-Hersteller ihre eigenen Updates herstellen, die wiederum Googles Fehlerbehebung enthält. Die müssen zuerst getestet werden. Dann gibt man sie an die Netzbetreiber weiter, die ebenfalls wieder prüfen. Erst dann kommt das Update schließlich an die Endkunden, wenn diese es wünschen. Apps für Android-Geräte lassen sich wesentlich leichter aktualisieren – das läuft über Googles Android Market direkt. Bei der Systemsoftware geht das bislang aber standardmäßig über Netzbetreiber und/oder Hersteller.

"Das ist absolut ein Problem, die Updates kommen nicht schnell genug", sagt Zach Lanier, Sicherheitsberater bei der Intrepidus Group, die sich auf Mobile-Internet-Security spezialisiert hat. Mindestens genauso schlimm sei, dass viele Smartphones nie eine Aktualisierung erhalten würden, weil Netzbetreiber zu viel Angst davor hätten, mit einem fehlerhaften Patch Probleme in ihrem Netz zu erhalten. Hersteller müssten zudem mit Dutzenden von Gerätemodellen hantieren. Entsprechende Tests seien sehr arbeitsintensiv. Google selbst wollte sich zu dem Thema zunächst nicht äußern, gab aber an, man arbeite mit Geräteherstellern und Carriern, um die Probleme zu lösen.

In der PC-Industrie bringen Software-Hersteller Bugfixes normalerweise bedeutend schneller heraus. Automatisierte Update-Routinen sind mittlerweile in vielen Bereichen Standard und sorgen dafür, dass Anwendungen und Betriebssystem auf dem neuesten Stand bleiben. Im Ergebnis heißt das, dass PC-Betriebssysteme im Durchschnitt innerhalb von 30 Tagen wichtige Fixes geliefert bekommen, so eine Studie von Qualys.

Google-Konkurrent Apple schaut sich Anwendungen sowieso erst einmal an, bevor diese in hauseigenen App Store gelassen werden. Auch Sicherheitsupdates erreichen iPhone-Besitzer oft schneller, weil Apple sich nicht auf die Netzbetreiber verlässt, sondern die Software einfach selbst herausbringt. "Apple muss sich außerdem nicht mit zahllosen Geräten auseinandersetzen", sagt Lanier. Hier sorge der "Walled Garden"-Ansatz für schnellere Reaktionszeiten. Allerdings ist Apple teilweise auch deutlich radikaler: Das Unternehmen schneidet regelmäßig ältere Geräte total von Updatezyklen ab, zuletzt iPhone 3G und iPod touch 2G.

"Von einem Sicherheitsstandpunkt aus gilt die Regel: Je stärker das alles automatisiert ist, desto schneller durchdringt ein Patch auch den Markt. Und um so geschützter sind die Leute dann auch", sagt Tom Cross, IBM-Sicherheitsforscher.

Angreifer interessieren sich unterdessen zunehmend für Methoden, die eigentlich dazu gedacht waren, Restriktionen zu entfernen, die Gerätenutzer nerven: Dieses Jailbreaking erlaubt es iPhone- und Android-Nutzern, mehr Funktionen auf ihre Geräte zu bekommen, ohne dafür extra zahlen zu müssen. Doch genau hier entstünde mittlerweile auch böswilliger Code, sagt Cross. "Das, was fürs Jailbreaking verwendet wird, kann auch zu unschönen Zwecken genutzt werden." (bsc)