Mehr Sicherheit für Android

Der Internet-Riese machte eine mächtige Welle bei seinem Eintritt in den Mobilfunkmarkt: Android, das Handy-Betriebssystem von Google, werde äußerst offen für Entwickler sein, hieß es damals. Das war ein ganz anderer Ansatz als der der traditionellen Telekommunikationsunternehmen in den USA, die bislang sehr streng kontrollierten, was auf Smartphones an Software ging und was nicht. Auch Apple ist trotz erfolgreichem App Store relativ streng: Bestimmte Aspekte des Geräts sind für Applikationen von Dritten nicht zugänglich, zudem muss jedes Programm vorab zugelassen werden.

Das Problem: Je mehr Handys zu kleinen PCs werden, desto stärker sind sie auch für deren übliche Sicherheitsprobleme anfällig. Damit Android hier nicht zum Opfer wird, hat Google sich eine neue Strategie ausgedacht. Rich Cannings, Leiter für den Bereich Sicherheit im Android-Team, erläuterte einige der Ideen kürzlich auf der Usenix-Sicherheitskonferenz im kanadischen Montreal.

Es müsse stets eine Balance gefunden werden zwischen Offenheit und Sicherheit, meint Cannings. "Ich könnte das sicherste Handy der Welt bauen, aber das würde natürlich niemand benutzen wollen." Ein wirklich sicheres Handy dürfe beispielsweise nicht auf das Internet zugreifen und eigentlich noch nicht einmal SMS und Sprachanrufe senden oder empfangen.

Statt alle Risiken zu eliminieren, indem einfach alle Funktionen gestrichen werden, verfolgt Google eine andere Strategie: Die Möglichkeiten, die ein Angreifer hat, der auf das Handy zugreift, sollen so gering wie möglich sein. Inspiriert wurde Google dabei vom Web, erläutert Cannings. Browser-Anwendungen werden normalerweise durch die Regel der gleichen Herkunft ("Same Origin Policy") abgesichert – die sorgt dafür, dass unter normalen Umständen ein Server keine Informationen mit einem anderen Server austauschen kann, den der Nutzer gerade in einem anderen Fenster offen hat.

Um diesen Ansatz auf ein Betriebssystem zu übertragen, behandelt Google jede Anwendung als eigenen Benutzer auf dem Gerät. Teilen sich mehrere Nutzer die gleiche Desktop-Maschine, ist das dortige Betriebssystem ja ebenfalls intelligent genug, sie voneinander zu trennen – jeder User hat seinen eigenen Account. Von einem dieser Zugänge aus ist es unmöglich, auf die Dateien anderer Zugänge zu schauen oder diese gar zu verändern. Ähnlich arbeitet Android: Jede Anwendung wird einzeln betrachtet. Wenn ein Angreifer dann über den Web-Browser eindringt, kann er nicht gleich auch noch das Adressbuch mitnehmen.

Die Anwendungstrennung war den Google-Entwicklern aber nicht sicher genug. Es gibt beispielsweise keinen Grund dafür, dass ein Spiel wie Pac-Man unbedingt Zugriff auf das Internet braucht. Das Android-Sicherheitsteam schränkte also jede Zugriffsmöglichkeit einer Anwendung grundsätzlich ein. Will ein Programm mehr, muss es den Nutzer um Erlaubnis fragen. Doch auch hier gibt es Herausforderungen.

"Für die meisten Menschen ist es schwierig, unbekannte Risiken abzuschätzen", meint Cannings. Wenn Nutzer für ihre eigene Sicherheit verantwortlich seien, würden sie echt schnell abstumpfen. Irgendwann klickten sie jedes Mal auf "Okay", wenn eine Dialogbox ein Problem offenbare.

Android ist deshalb so gestaltet, dass einmal gefragt wird – bei der Installation der Anwendung. Der Nutzer erhält zudem nur die wichtigsten Hinweise, mit einem Zusatzkommando gibt es den genaueren Rest.

Android sichert aber nicht nur einzelne Anwendungen. Das Google-Entwicklerteam schaute sich auch jene Bereiche im Betriebssystem an, die oft von Angreifern als Einfallstor genutzt werden. Beispielsweise ist die Software, die Medien wie Audio und Video im Browser abspielt, sehr komplex und damit fehleranfällig. Deshalb wird sie besonders gerne attackiert. Bei Android läuft der Medienabspieler deshalb außerhalb des Browsers als ein getrennter Server. Wird dieser gehackt, kann ein Angreifer also nicht auch auf Passwörter und Cookies im Browser zugreifen.

Charlie Miller, Sicherheitsexperte bei Independent Security Evaluators, der bereits diverse Bugs in der Android-Plattform aufdeckte, meint, dass Googles Technik jede Anwendung in einen eigenen "Sandkasten" einzusperren, durchaus wirksam sein kann. Beispielsweise fand Miller einen Bug in der MP3-Abspielsoftware, konnte mit seinem Schadprogramm aber nicht weiter vordringen, weil er andere Anwendungen auf dem Handy nicht erreichen konnte.

Miller kritisiert allerdings, dass Google zu stark auf diese eine Schutzmethode setzt. "Das ist ein gutes Stück Sicherheit, aber meiner Meinung nach sollte es mehrere Schichten geben", sagt er. Ein Angreifer könnte einen Fehler im Betriebssystem finden, der es ihm erlaubt, die trennenden Mauern zwischen den Anwendungen aufzureißen. Dann wäre ein Problem in der Medienabspielsoftware genauso gefährlich wie auf anderen jeder anderen Plattform.

Miller lobt außerdem, dass konkurrierende Systeme wie das iPhone dafür sorgten, dass nicht autorisierte Programme ihren Code nicht mehr ausführen könnten. Bei Google könne dagegen erst einmal jede Software laufen, was einem Angreifer mehr Mittel an die Hand gibt.

Ein weiterer Angriffsvektor ergibt sich aus der Art, wie Android vermarktet wird: "Google hat das Problem, dass sie zwar das Betriebssystem herstellen, aber nicht das Handy kontrollieren." Als Miller seinen ersten Android-Bug gefunden hatte, alarmierte er Google und die Firma schloss die Lücke im Quellcode noch am selben Tag. Die Lösung schützte jedoch keine Geräte, die bereits im Betrieb waren. "Sie hingen voll und ganz von T-Mobile ab, wo man das erste Google-Handy verkaufte. Diese Firma musste den Patch bereitstellen und auf alle Handys in der Welt weiterleiten." Einige Hersteller reagierten zwar schnell auf Sicherheitsprobleme, andere ignorierten sie aber einfach.

Cannings meint, dass Google bei einem neuentdeckten Bug zunächst seine Mobilnetzpartner informiert – aktuell sind das 32 Firmen in 21 Ländern. Mit diesen werden dann zuerst mögliche Lösungen getestet. Wenn alle Netbetreiber zufrieden sind, wird der Bugfix endlich verteilt.

Kein Produkt kann wirklich zu 100 Prozent sicher sein, meint Google-Mann Cannings. Immerhin: Der Internet-Konzern versucht wenigsten, Android auf die zweifellos bald kommende mobile Malware-Welle vorzubereiten. (bsc)