Die meisten Android-Virenscanner sind unsicher

Sicherheitsforscher haben Schwachstellen in einem halben Dutzend Virenjägern für Android-Smartphones entdeckt. Bis zu 675 Millionen Installationen sollen weltweit betroffen sein. Angreifer können über die Lücken den Virenschutz abschalten, persönliche Daten abgreifen und im schlimmsten Fall das Gerät sperren und Lösegeld verlangen. Betroffen sind Produkte von Avira, Eset, Kaspersky, Malwarebytes, McAfee und die weniger weit verbreiteten Virenjäger AndroHelm und Cheetahmobile.

Entdeckt wurden die Lücken von einer Forschergruppe des Fraunhofer-Instituts für Sichere Informationstechnologie (Frauenhofer SIT). Diese hatten die Schwachstellen dann an die AV-Hersteller gemeldet. Eine Mehrzahl habe "sofort reagiert" und die Probleme behoben, so die Forscher.

Virenscanner mit Anfängerfehlern

Viele der gefundenen Schwachstellen haben zur Ursache, dass die Virenscanner heruntergeladene Virendefinitionen ungenügend prüfen. Zum Teil existieren Downloads über komplett ungesicherte Verbindungen. So kann sich ein Man-in-the-Middle im selben Netz wie das Opfer in die Verbindung zwischen App und Server des Herstellers einklinken, den Download manipulieren und die Kontrolle über die App übernehmen.

Der Scanner von Kaspersky lädt ungenügend gesicherte Werbung nach, die manipuliert werden kann, um Schadcode mit den Rechten der App auszuführen. McAfees Android Security kann von anderen Apps auf dem Handy über eine Schwachstelle beendet werden, so dass keine Viren-Scans mehr ausgeführt werden. Esets Software enthält einen Verschlüsselungsalgorithmus, der einfach zu knacken war. Bei AndroHelm konnten die Forscher Funktionen der Pro-Version aktivieren, ohne dafür zu zahlen.

Die Forscher empfehlen Nutzern, ihre Anti-Viren-Apps auf dem neuesten Stand zu halten – was unabhängig von den jetzt entdeckten Lücken sowieso unabdingbar ist, um deren Sicherheit zu gewährleisten. Am besten aktiviert man bei dieser Art Apps von vornherein die Auto-Update-Funktion. (fab)