Seite 2: Trau, schau, wem!

Inhaltsverzeichnis

Trau, schau, wem!

Apple versucht Malware-Apps auf dem iPhone einen Riegel vorzuschieben, indem Anwendern nur die Installation von Programmen über einen kontrollierbaren Weg erlaubt ist: den App Store. Nur registrierte Hersteller und Entwickler dürfen dort ihre Apps zum Download feilbieten. Zudem unterzieht Apple die Apps einer kurzen Prüfung, ob sie sich an die Geschäftsbedingungen halten, sprich auf den Geräten keinen Unfug anstellen. Wie eingehend diese Prüfung ist, verrät Apple nicht. Sicherheitsspezialisten vermuten, dass Apple die eingereichten Binärdateien einer kurzen statischen und dynamischen Analyse unterzieht. Dabei schaut Apple, ob die App unerlaubte API-Aufrufe nutzt oder auf unerlaubte Ordner, Daten anderer Anwendungen oder Ressourcen zugreift. Ob dies Malware wirklich draußen halten kann, darf bezweifelt werden. So sind einige Fälle dokumentiert, in denen Apps persönliche Daten sammelten und an den Server der Entwickler schickten.

Im Juli 2008 wurde beispielsweise das Spiel „Aurora Feint“ aus dem App Store entfernt, weil es sämtliche gespeicherten Kontaktdaten zum Herstellerserver hochlud, um Vergleiche anzustellen, ob Freunde ebenfalls das Spiel spielten. Im August 2009 wurde bekannt, dass Spiele des Herstellers Storm8 sowohl die Geräte-ID als auch die Telefonnummer an einen Server sendeten. Es ist nicht unwahrscheinlich, dass weiterhin Apps mit fragwürdigem Verhalten durch die Kontrollen rutschen, insbesondere weil mittlerweile tausende neue Apps pro Woche auf Apple einprasseln.

Google stellt zwar mit dem Android Market ebenfalls einen zentralen Software-Pool bereit, verlagert die Analyse jedoch auf den Nutzer: Dazu fragt Android bei der Installation jeder App nach, ob man ihr Zugriffsrechte auf Ressourcen wie GPS, das Adressbuch und Telefonie gewährt. Allerdings fällt es schwer, allein aus dem Wunsch nach dem Zugriff eine mögliche Bedrohung abzuleiten. Eine App für SMS wird auf das Adressbuch zugreifen und von der Telefonfunktion Gebrauch machen wollen – könnte aber auch ungefragt Kurznachrichten an teure SMS-Chats senden. Mitte August wurde ein als Media-Player-App getarnter Dialer für Android gesichtet, der vom Anwender unbemerkt teure SMS-Nummern wählte. Dass die App dies tun könnte, hat sich dem Anwender zwar bei der Installation bereits angekündigt, allein genützt hat es nichts: Viele haben sich die App trotzdem installiert. Nicht selten schildern Android-Anwender, dass sie den angezeigten Rechten ohnehin keine Beachtung mehr schenken würden und die Nachfrage ungeprüft abnicken.

Schuld daran sind zum Teil die App-Entwickler, die sich oftmals keine Gedanken darüber machen, auf welche Ressourcen ihr Tool zugreifen muss, und im Zweifel eher zu viel Rechte erfragen. Dann fordert etwa der schnöde Kalorienrechner überraschenderweise Zugriffsrechte auf das GPS-Modul und den Telefonstatus. Da sich diese Programmierunsitte offenbar epidemisch unter Android-Entwicklern verbreitet, werden Anwender im Laufe der Zeit desensibilisiert und in der Folge installieren sie Apps bedenkenlos – egal was Android meldet. Und nicht selten geraten Android-Apps aufgrund zu viel angefragter Rechte unter falschen Verdacht, den Anwender auszuspionieren.

Dank der speziellen Banking-Apps vieler Banken findet das „Mobile Banking“ immer mehr Anhänger – und auch hier gab es neben den regulären Anwendungen bereits Spionage-Apps. Für US-Banken, die noch keine eigene App angeboten hatten, versprach Ende des vergangenen Jahres die Anwendung eines Entwicklers namens Droid9 ein einfaches Login ins Konto. Parallel las die App die Login-Daten mit und sendete sie an den Entwickler. Aufgeflogen war die Sache erst, als die US-Genossenschaftsbank First Tech Kunden vor der App warnte.

Für den Fall einer epidemischen Ausbreitung einer bösartigen App haben sowohl Apple als auch Google eine Notbremse eingebaut: Per Kill Switch respektive Fernlöschung können sie Anwendungen aus der Ferne ohne Zutun des Anwenders deinstallieren. Während Apple von dieser Option bislang noch nie Gebrauch gemacht hat, löschte Google im Juni Anwendungen, die Sicherheitsspezialisten zu Demonstrationszwecken in den Android Market gestellt und an hunderte Anwender verteilt hatten. Vermutlich greift die Funktion nur für die über den Android Market installierten Apps. Etwa von anderen Webseiten als Android Packages (APK) geladene und installierte Anwendungen dürften davon ausgenommen sein. Der Installation von Software aus anderen Quellen muss der Anwender jedoch explizit einmalig zustimmen, indem er in den Einstellungen die Option „Unbekannte Quellen“ aktiviert.

Der weiteren Verbreitung eines Schädlings innerhalb des Dateisystems eines Gerätes wollen Google und Apple durch Sandboxing und Code Signing zuvorkommen (siehe Kasten Plattform-Überblick). Die Anwendungen laufen vom System abgeschottet und sollen damit keinen direkten Zugriff auf das Dateisystem und die Ressourcen anderer Prozesse haben. Dadurch dass sämtliche Anwendungen auf dem Gerät digital signiert sein müssen, kann kein Programm die Dateien anderer Programme infizieren. Das schützt leider wenig: Wie schon auf dem PC nisten sich Bots und Spionageprogramm auf dem Smartphone ohnehin direkt im System ein, ohne andere Dateien „anzufassen“. Dafür nutzen sie das zweite Einfallstor auf Computersystemen: Sicherheitslücken im Betriebssystem und in Anwendungen wie Webbrowsern, den zugehörigen Plug-ins und Mediaplayern.