Die harte Realität: Darum wird Android nie sicher sein
Wo kommen Android-Viren her, wie erkenne ich sie und was muss ich tun, um sie wieder loszuwerden? Wir sprechen mit Kaspersky-Experten Christian Funk über die realen Gefahren mit Android-Geräten, klären die Frage, ob iOS sicherer ist und sagen Euch, ob Ihr Euch gegen Malware schützen könnt.
Es ist ein kleines Rätsel mit der Android-Sicherheit. Die meisten verzichten auf eine Anti-Malware-App, denn sie wähnen sich in Sicherheit: Sie beziehen ihre Apps nur aus dem Play Store und gehen nur auf die Websites, die sie kennen. Ich mache das auch so. Doch darf ich mich entspannen und glauben, dass ich sicher fahre?
"Es herrscht wenig Risiko in den offiziellen App Stores. Es gibt zwar Ausnahmen, aber Google hat die Messlatte sehr hoch gelegt." Das erklärt uns Christian Funk, der die deutsche Forschungsabteilung von Kaspersky leitet. Sein Job ist es, die Malware-Landschaft zu überblicken und zu beobachten, welche neuen Einfallstore Schädlings-Entwickler nutzen, um Eure Smartphones für Ihre Zwecke zu missbrauchen.
"Dass man Viren nur auf Filesharing- oder Porno-Websites findet, ist ein Mythos"
Angreifer nutzen Euer Vertrauen aus
"Das Risiko im Play Store ist gering, aber nicht null. Drittanbieter-App-Stores sind eine häufigere Quelle. Sie bieten trojanisierte Apps; also legitime Apps mit Schadcode." Die üblichen Träger von Malware sind häufig gesuchte Apps. So wurde eine Zeitlang eine gezinkte Form von GTA kostenlos fürs Handy versprochen. Dabei wurde die komplette Download-Seite des Original-Servers kopiert und unter derselben Web-Adresse angezeigt. Nur Mobile-Usern wurde die Fake-Seite angezeigt, sodass die Website-Betreiber selbst nicht sofort erkannten, dass man ihren Dienst missbraucht.
Und dies kann in dieser Form immer wieder passieren: Eigentlich legitime, bekannte Webserver werden kompromittiert und weder Nutzer noch Server-Betreiber ahnen Schlimmes. Wenn das bei whatsapp.com oder APKMirror passiert, könnt Ihr Euch denken, was die Folgen sind. "Das ist auch der größte Angriffsvektor. Dass man Viren nur auf Filesharing- oder Porno-Websites findet, ist ein Mythos", erklärt Funk. "Erfolgreiche Schadsoftware nutzt das Vertrauen des Users aus."
Ein weiteres Einfallstor ist die SMS. Diese kommt von einer Euch bekannten Nummer und hat einen Download-Link. Zunächst geht es dem Malware-Autoren nur um die schneeballartige Verbreitung seines Schädlings. Der Wurm, den Ihr herunterladet und installiert, verschafft dem Angreifer Zugriff auf das Gerät, um es zu einem späteren Zeitpunk für sich nutzbar zu machen. Dieser Schädlings-Bestandteil ist nur eine Komponente moderner Malware, die sich modular aus einigen Funktionskomponenten zusammensetzen kann. Zu jenem Zeitpunkt merkt der Nutzer gar nicht, dass Malware auf seinem Smartphone installiert ist.
Richtig interessant wird es dann, wenn Ihr dieser App Geräteadminsratorrechte gewährt. Denn dann kann sie andere Apps ausführen und installieren. Auf diese Art bekommt der Nutzer nicht mehr mit, wann Komponenten heruntergeladen oder zum Server zurück übertragen werden. Der Angreifer könnte vielleicht Euer Smartphone als Proxy verwenden, um unter Eurem Namen Hackangriffe durchzuführen.
Es könnte dann sein, dass die Polizei plötzlich vor Eurer Tür steht und sagt: "Hey, das kommt von Ihrem Handy. Was sagen Sie dazu?" Und dann sollte man sich einen Anwalt suchen, denn dann muss man sich auf Beweissuche begeben: War ich der Angreifer oder war es die Schadsoftware? Und inwieweit bin ich verantwortlich?
Eine unmittelbarere Form, wie man Euch schädigen kann, ist ein SMS-Trojaner, der gezielt Premium-SMS versendet und darüber seinem Schöpfer Geld einbringt. Bei manchen Providern könnt Ihr wünschen, dass Ihr keine SMS an solche Nummern verschicken könnt.
Hier kommt Ihr zu den Service-Bereichen der drei großen Telekommunikations-Anbieter für Deutschland, in denen erklärt wird, wie Ihr Premium-Services deaktivieren könnt:
Ist mein Smartphone infiziert?
Es ist noch so ein Mythos, dass man bemerkt, wenn das Smartphone infiziert ist. Nur in seltenen Fällen erkennt man, dass etwa plötzlich erheblich mehr Werbung auftritt und diese penetrant ist. Dann muss man in die App-Historie blicken und nachsehen, welche App man kürzlich installiert hat (etwa mit dem Simply Uninstaller), die der Ursprung dieser Werbebanner sein könnte. Oft lassen sich diese Apps dann mühelos deinstallieren. Die Symptome sind dann beseitigt und Euer Smartphone verhält sich wieder normal. Ihr wisst dann aber nicht, was die App in der Zwischenzeit angestellt hat. Wurden wirklich nur Werbebanner angezeigt oder ist vielleicht mehr passiert?
Eine AV-App kann den Schädling klassifizieren und Euch darüber aufklären, was vermutlich geschehen ist. Daraus leiten sich weitere Handlungsschritte ab: Müsst Ihr sämtliche Passwörter ändern? Müsst Ihr Eure Adressbuch-Kontakte darüber informieren, dass unter Eurem Namen Malware verteilt wurde? Müsst Ihr Euer Bankkonto oder die Kreditkarte sperren? Malware-Komponenten mit bestimmten Signaturen (eindeutigen digitalen Erkennungsmerkmalen) können von Anti-Malware-Apps schon vor ihrer Installation erkannt werden. Neuere heuristische Erkennungsmethoden sind nicht mehr auf die Signatur angewiesen. Sie erkennen auch unbekannte Malware anhand bestimmter Verhaltensmuster, und das ist besonders bei sehr neuen oder veränderbaren Schädlingen hilfreich.
Wäre ein Super-User-Virenschutz nicht viel wirkungsvoller?
Jetzt war ich stutzig, ob eine Antivirus-App nicht mehr Wirkung erzielen könnte, wenn sie echte Super-User-Berechtigungen in Android bekäme. Doch ist dies von dem mobilen Betriebssystem nicht vorgesehen und da wird auch für die Sicherheits-Software keine Ausnahme gemacht. Doch Funk begrüßt das:
Es soll für den Root-Zugriff weiterhin keine Ausnahmen geben
"Ohne Root-Berechtigungen können Exploits Betriebssystem-Anweisungen nicht verändern. Wenn sie dies könnten, hätten sie die Macht, sich rasend zu vergrößern. Dass keine App Root-Rechte bekommt, ist etwas absolut Gutes." Das sei auch der Hauptgrund dafür, warum wir nicht eine Schwemme an Mobile Malware sehen wie bei Windows am PC. Dort reicht die Schwachstelle eines einzelnen Programms wie des Flash-Players aus, um weitere Malware-Komponenten nachzuladen und mit geerbten Admin-Rechten auszuführen. Eine infizierte Anti-Malware-App würde dann genau dieses Szenario in Android ermöglichen.
Es gab bisher nur einen Fall, in dem Drive-By-Downloads dieser Art in Android möglich waren, doch dieser nutzte eine ganze Kette von Sicherheitslücken aus, die so nicht mehr reproduzierbar ist, was unter anderem daran liegt, dass diese Machbarkeitsstudie an Google herangetragen wurde, wo man einen Patch für die Schwachstellen entwickeln konnte. In der Praxis gab es diesen Malware-Typ in Android noch gar nicht.
Fehlende Updates machen Android von Natur aus unsicher
Eine große Wunde im Android-Bereich sind Software-Updates. Denn nur in ihnen steckt die Möglichkeit, Sicherheitslücken umfassend zu schließen, ehe sie sich zu einer Kette zusammenfügen, wie wir sie oben kennen gelernt haben. Auch wenn Funk nicht kompletten Schutz verspricht, sagt er, dass das Schutzniveau "extrem stark erhöht" wird, wenn man eine Anti-Malware-App installiert.
Fehlende Software-Updates machen etliche Android-Smartphones dauerhaft unsicher
"Dass so viele Android-Geräte keine Updates bekommen, ist ein Problem. Der Nutzer wird hier oft im Regen stehen gelassen. Selbst wenn er motiviert ist, das Update zu installieren, bekommt er es einfach nicht geliefert, weil sich der Hersteller aus wirtschaftlichen Gründen dagegen entschieden hat, es noch zu entwickeln. Bestimmte Sicherheits-Schwachstellen bleiben dann auf ewig offen."
Da drängt sich eine schmerzhafte Frage auf:
Ist iOS sicherer als Android?
"Apples starke Kontrolle über das einheitliche Öksoystem ist sehr hilfreich, wenn es um das Eindämmen von Malware geht. Die bekannten Schadsoftwares sind sehr wenige." Und da man auf iPhones nur Apps aus dem App Store beziehen kann, entfällt der komplette Angriffsvektor über Drittanbieter-Paketquellen. Lediglich Geräte mit einem Jailbreak wären attraktiv für Malware-Autoren, aber diese Zielgruppe ist winzig. "Android hat ohnehin den größeren Teil vom Kuchen, weltweit, im mobilen Bereich", sodass die Situation ähnlich ist wie beim PC mit Windows und Mac. Dort ist Windows die viel größere Zielscheibe, auf die Angreifer zuerst losgehen. Schon aus diesem Grund wirkt iOS sicherer als Android.
Android ist das Pendant zu Windows im mobilen Bereich
Die Philosophie-Frage, ob es sinnvoll wäre, Android wie iOS abzuriegeln und Drittanbieter-Apps nicht mehr zuzulassen, will Funk uns nicht beantworten.
Die Grauzone der App-Berechtigungen
Eine Grauzone zwischen Malware und legitimer App sind Apps mit zu vielen Berechtigungen. "Viele Apps greifen Infos ab, die nicht für den eigentlichen Nutzen entscheidend sein dürften." Ein Handlungstipp von Funk ist, dass Ihr regelmäßig eine Inventur Eurer installierten Apps macht und jene, die Ihr nicht mehr verwendet, deinstalliert. Denn "kostenlose Apps bezahlt man mit den eigenen Daten. Doch warum soll ich mit meinen Daten für Apps zahlen, die ich eigentlich gar nicht nutze?" Wieso soll der Autor der Taschenlampen-App wissen, mit wem ich wann telefoniere oder wen ich wie lange besuche?
Die Geschichte der Malware wiederholt sich
Die Entwicklung der Malware, die sich im PC-Bereich über zwei Jahrzehnte erstreckt hat, kann man in denselben Evolutionsstufen, aber im Zeitraffer, im mobilen Bereich erneut beobachten. Es ging los mit Cyber-Vandalismus auf Symbian, wo App-Icons durch Totenköpfe ausgetauscht wurden, doch binnen weniger Monate gab es Malware im mobilen Bereich, aus der die Autoren Profit schlagen konnten. Im PC-Bereich waren es in den Neunzigerjahren die Dialer und auf Smartphones ist es der SMS-Trojaner. Ransomware erschien zuerst auf dem PC und sie gibt es nun auch für Smartphones: Dokumente werden verschlüsselt und der Anwender wird angesprochen, dass er sie nur gegen ein Lösegeld (engl.: ransom) zurückerlangt. Gelegentlich wird auch das gesamte Gerät blockiert (wie in unserem Video demonstriert).
Viele Nutzer wissen es nicht besser, wenn sie eine App mit Adminstratorrechten installieren. Man kann ihnen dann nicht vorwerfen, sich bei der Installation der Schädlings-App ungeschickt angestellt zu haben. Nutzer sehen sich den App-Berechtigungen ausgeliefert, wenn sie eine bestimmte App installieren wollen. Von daher akzeptieren sie, was verlangt wird und tappen so in die Falle. Mit Android M scheint Google einen weiteren Schritt in die richtige Richtung zu gehen, indem man als Nutzer App-Berechtigungen auch nach der Installation kontrollieren kann. Und theoretisch ist Android eine sichere Plattform. Das Problem der fehlenden Software-Updates ist jedoch eines, das vermutlich nie behoben werden wird. Und Websites, die ihre Besucher hinters Licht führen, wird es immer geben, denn das liegt in der Natur des Katz- und Maus-Spiels zwischen Malware-Autoren und den ehrlichen Gestaltern des Internets.
Ich halte eure Ansicht zum Thema Root auf Androidgeräten nur für teilweise richtig, denn: Was nützt mir ein (vermeintlich sicherer) nicht gerootetes Gerät, wenn ich nicht einmal die Kontrolle über meine Daten behalte, bzw. welche Daten "abgezweigt" werden? Und was nützt es mir, wenn es eine schädliche App dann doch auf Grund irgendeiner Sicherheitslücke es schaft, Rootzugriff zu erlangen?
Mit einem Rootzugriff könnte man (zumindest theoretisch) bekannte Sicherheitslücken (teilweise) schließen, z.B. gegen DNS-Spoofing oder ähnliche Angriffe.
Natürlich steigt natürlich auch da die Gefahr, da die gesamte Sicherheit des Systems von einer App abhängt, in den meisten Fällen SuperUser/SuperSU.
Dennoch: Als Nutzer möchte ich am Ende doch die Kontrolle über meine Daten haben. Woher kann ich mir sicher sein, das nicht mein Handy als Spam-Verteiler missbraucht wird? Oder ob eine einfache, eigentlich vertrauenswürdige App nicht auf einmal meine Kontakte über das Internet verteilt, nur weil ich "ausversehen" im Playstore auf "weiter" gedrückt habe? In all diesen Fällen ist zwar Android 6 praktisch, aber auch gebe ich diese Möglichkeit an eine weitere App (in diesem Falle Teile des Betriebssystems) weiter.
Zwar hilft dies im Zweifel auch nicht, wenn eine schädliche App mir suggeriert, ich müsste ihr umbedingt Root-Zugriff gewähren, aber in vielen Fällen schon.
Bomben Artikel!
Wirklich guter Artikel, sehr ausgewogen und informativ....
Naja, ich habe auch Root nur installiert, weil nur so Googles SD-Kartensperre zu umgehen ist. Was nützt mir ein sicheres Smartphone, wenn es nicht richtig nutzbar ist ? Man muss halt immer Kompromisse eingehen.
Ein sehr schöner Artikel!
Google sollte Herstelleranpassungen die in das Betriebssystem eingreifen, generell verbieten.
Optische Anpassungen können die Hersteller dann über Apps vornehmen.
Hmm komisch beim s6 der Originale Virenschutz arbeitet mit superuser als systemapp und überwacht auch die Kernel, als ob das schlechter wäre als eine nachträglich installierte Av lösung die das nicht kann.
Dazu kommt das man root doch überwiegend mit der Superuser app steuert, ich habe das ganze so ein gestellt das ich jedes mal gefragt werden und obendrauf ein passwort ein geben muss, da sehe ich kein erhötes Risiko. Root Apps denen ich vertraue gebe ich auch nur eine Berechtigung von 15 Minuten z.b bei Sd maid wenn ich Systemapps löschen möchte. Zusätzlich gucke ich dann in die Logs und prüfe ob die root App eventuell auch etwas anderes macht oder bei dauerhafter berecjtigung selbsttätig etwas machte.
Bis jetzt waren alle root Apps dieich nutzte unaufälllig, benutzte ich sie nicht, tuchten sie auch nicht in den logs auf.
Korrigiert mich wenn ich da falsch liege, aber der passwortschutz in der superuser App kann doch nicht unbemerkt umgangen werden?
Aber das ein nicht root Av schutz genauso gut ist wie einer mit root halte ich für ein Gerücht.
Der Originale Schutz im s6 erkannte bei mir eine Kernel mit der Meldung " Nicht autorisierte Geräteaktivitäten erkannt"
Das wäre Kaspersky ohne root entgangen wie auch jedem anderen AV Schutz aus Store ohne root.
Wenn ich Sicherheit will nutze ich mein Nokia 5110 und deaktiviere dort die Ortungsfunktionen!
Was billig ist und überall verfügbar ist. Kann nie sicher werden. Abgesehen von Abhördienste. Wo jeder Entwickler mitmachen kann enthält jeder Menge Schrott.
Das kam gerade per Focus App: http://www.focus.de/digital/handy/stagefright-sicherheitsluecke-gefaehrdet-fast-alle-android-smartphones_id_4844156.html
Super und vor über 5 Stunden, der Artikel https://www.androidpit.de/stagefright-sicherheitsluecke-das-musst-du-wissen
Super! Und lange vor dem AP-Artikel gab es bereits zahlreiche Artikel in anderen Magazinen und Blogs. Hier sämtliche Artikel zu verlinken, wäre aber mehr als müßig.
Der beste Weg ist so wie es bei Windows auf pc ist, Windows XP hat über 10 Jahre Updates bekommen, warum müssen die Updates von Android immer erst über die Hersteller gehen es wäre viel einfacher gleich zu denn Kunden, die Aufsätze von denn Herstellern hat doch nicht viel mit Android direkt zu tun. Bei Windows geht es doch auch egal wie alt der pc ist oder welche Hardware verbaut ist
"die Aufsätze von denn Herstellern hat doch nicht viel mit Android direkt zu tun" – leider doch, genau das ist nämlich das Problem: Dass die Hersteller-Aufsätze zu tief ins System eingreifen. Werden an letzterem also große Änderungen vorgenommen, macht das erstere u. U. instabil (wenn z. B. APIs plötzlich andere Strukturen liefern, sich Schnittstellen wenn auch nur geringfügig ändern, etc.).
Das Problem sind eigentlich die Updates selber, die oft schlechter werden als die Vorgängerversion. Egal ob das Apps sind , oder gar das ganze Betriebssystem.
Google sollte das System möglichst so umbauen, dass so viele Komponenten wie möglich über den Playstore upgedated werden.
Da ist Google ja schon dran. Sie verlagern meines Wissens nach immer Funktionalität in die PlayServices.
Das sagen sie seit über einem Jahr (genauer gesagt, seit der I/O 2014), dass sie das so machen wollen.
Gscheite Hersteller wie HTC patchen das System über den Playstore, also keinen Samsung Schrott mehr kaufen und alles ist gut!
Gescheite Hersteller wie Samsung patchen selbst unabhängig von Google oder Android Versionsnummer übers Samsung Konto, Htc patcht nur das was Google macht aber nicht z.b den Browser wenn man nich auf 4.4 ist.
Bei Samsung wird das auch mit älterem Android frisch gehalten...
Aber nur wenn man ein Top Gerät von Samsung kauft.
Allen anderen bekommen mit Glück vielleicht ein Update und dann gar nichts mehr.