Studien sind ja immer so eine Sache. Das wissen wir spätestens seit der von Microsoft „finanziell unterstützten“ und dem Fraunhofer-Institut durchgeführten Spam-Mail-Untersuchung, bei welcher der E-Mail-Dienst des Software-Giganten Kritikern zufolge verdächtig gut abschnitt. Neben einem Blick auf die Untersuchungskriterien (im vorangehenden Beispiel wurden etwa Newsletter ohne weitere Untersuchung als Spam klassifiziert worden) lohnt daher immer auch ein Blick ins Kleingedruckte, wo sich der Auftraggeber respektive Durchführer der Studie versteckt. Wie bei der nachfolgenden Studie, die mit gar schrecklichen Ergebnissen um die Ecke biegt.
Wie Cnet berichtet, weisen sage und schreibe 20 Prozent der mittlerweile über 48.000 im Android Marketplace verfügbaren Apps massive Sicherheitslücken auf. Durch sie können Außenstehende auf sensible oder private Daten der User zugreifen – etwa auf E-Mails, SMS, Anruflisten oder den Aufenthaltsort des Gerätes. Diese Bedrohung sei ähnlich hoch, wie jene, die durch Spyware verursacht wird. Aber es kommt noch schlimmer.
Fünf Prozent der Android-Anwendungen könnten sogar dazu genutzt werden, ohne Wissen oder Dazutun des Users Anrufe an jede x-beliebige Nummer zu tätigen. Und weitere zwei Prozent wären imstande, unerlaubterweise SMS mit jeglichem Inhalt an kostenpflichtige Premium-Nummern zu verschicken. „Nur weil sie von einem bekanntem Ort wie dem Android Marketplace […] stammte, bedeutet das nicht automatisch, dass die App nicht schadhaft ist oder dort ein entsprechendes Sicherheitssystem existiert“, so mein Namensvetter Dan Hoffman, der den Android Market Threat Report (PDF) mit seinem Unternehmen erstellte.
Der Name seines Unternehmens lautet übrigens SMobile Systems und es handelt sich dabei – wie könnte es anders sein – um einen Hersteller und Anbieter von Sicherheitslösungen für Mobiltelefone. Und so verweist Hoffman auch völlig nonchalant auf hauseigene Anti-Spyware-Software, mit der sich die runtergeladenen Apps überprüfen ließen.
Damit will ich die geschilderte Gefahr nicht verharmlosen, einige von euch werden sich vielleicht bis dato noch nie über die potenziellen Gefahren, die von Phone-Apps ausgehen, Gedanken gemacht haben. Worauf ich hinaus will, ist, dass solche Meldungen oft eine Panik (unter wenig versierten Usern) verbreiten, obwohl sie Null-News sind, weil ihr Inhalt längst bekannt ist. Dass es Spyware-Apps gibt, dürfte ebenso verbreitet sein wie der Umstand, dass es einige schwarze Schafe unter den App-Entwicklern gibt. Hinzu kommt, dass viele beliebte Apps – aus dem Apple App Store sind mir beispielsweise Shazam oder Around Me bekannt (Stichwort: Pinch Media) – auch fleißig Nutzerdaten sammeln, ohne dass der User etwas dagegen unternehmen könnte. Oder möchte, weil er die App weiterhin nutzen will und das Sicherheitsrisiko nicht als so hoch erachtet. Zudem muss immer auch die Frage geklärt werden, ob bestimmte Einstellungen in einer App, die ein illegales Handeln ermöglichen würden, nicht für andere Zwecke notwendig sind. Für statistische Zwecke etwa, um ein ganz einfaches Beispiel zu benutzen.
Anderes Beispiel: In regelmäßigen Abständen bekomme ich Newsletter von irgendwelchen PC-Antiviren-Firmen, die mir mit erschreckenden Zahlen vor Augen führen, wie gefährdet mein PC ist und dass ich dringendst eine neue Antiviren-Software benötige. Bei näherem Hinsehen entpuppt sich das Ganze dann oft als Marketing-Strategie, die mit der Angst der User spielt – wie im obigen Fall. Oder seht ihr das anders? Und falls ja, würdet ihr euch mehr Sicherheitshinweise dieser Art hier auf dem Blog wünschen?
(Marek Hoffmann)
Deine Jobbörse in der Digital-Welt
Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!
Gelobt sei das Apple-Land. Es hat schon einen Sinn, warum sich Steve jede App vor dem Start im App Store ansehen möchte.
@Tobias: Ähm… Shazam und Around Me sind aus dem App Store. 😉
Fluch und Segen von offenen Systemen…
@ Tobias: Apple ist leider auch noch fernab von Perfektion was den Zulassungsprozess angeht.
Aber ich bin überzeugt das dort schon eine Menge böses Zeug weggefiltert wird.
Es ist auch ein Unterschied, ob der Dienstleister Statistiken von mir macht – oder ob er die Möglichkeit hat, mit meinem Handy rumzutelefonieren…
welcome to applethinking.de
Das Geschäftsgebaren der meisten Sicherheit Software Hersteller wird leider immer Undurchsichtiger, man schaue nur in ein beliebiges einschlägiges PC Magazin, die jeden Monat mit den wildesten „Horrormärchen“ über die Sicherheit Aufwarten.
Der Benutzer kann sich natürlich nur mit Produkten schützen die gerade eine Ganzseitige Anzeige bei ihnen bezahlt haben… oder die neuste Sicherheits- Studie finanziert haben, von einschlägigen Magazin Tests ganz zu schweigen.
Auch wird schon lange vermutet das viele an der Schadcodeentwicklung sogar Beteiligt sind?
Das sie nun diese Angstmasche auch auf Smartfon oder Pad PC Benutzer Ausweiten wollen ist doch nur logisch da ein neues lohnendes Geschäftsfeld.
kann mir jemand ein Programm nennen das meine Daten (nicht nutzungsdaten wie shazzam) ausliest?
Der Sinn der Studie ist mir noch nicht ganz geläufig.
Diese Problematik habe ich bei jeder Art von Software, die ich auf egal welchem System installiere immer mit dabei.
Immerhin wird bereits vor der Installation einer Android-App darauf hingewiesen, auf welche Funktionen die App später zugreifen will.
Zudem kann ich die Anwendung innerhalb von 24h nach Kauf noch von meinem Gerät entfernen und bekomme das Geld zurück. Falls die App schadhaft war, kann ich dies zudem in der Bewertung anbringen und darüber hinaus die Anwendung „melden“.
Falls Daten zur statistischen Aufbereitung gesammelt werden sollte, wird dies in der Regel durch ein „Agreement“ beim erstmaligen Start der Anwendung abgefangen.
Ich sehe da auf Anhieb aber kein Problem, was nur Android-Apps betrifft, sondern vielmehr ein generelles. In wie weit kann ich als Anwender einem unbekannten Entwickler vertrauen?
das ist eben das opfer dass man bringen muss, wenn man sich selber aussuchen können will was man auf seinem „gerät“ installiert.
ist eben genau das gleiche problem wie im normalen internet, wieso sollte das auf einem für alle offenen markt anders sein ?
ob ein restriktiver und kontrollierter markt dafür eine lösung bietet wage ich zu bezweifeln, da dass internet wohl auch nur genau deswegen so verbreitet ist weil es eben komplett offen für jeden ist.
Ich weiss nicht genau wie das Freigabeverfahren im Android-Store aussieht. Aber tendenziell würde ich durchaus von einem grösseren Sicherheitsrisiko für Android-Syseme ausgehen als beispielsweise bei iOS-Systemen.
Wie gesagt, das ist nur meine subjektive Einschätzung.
@TaiPan: Den Vorwurf verstehe ich nun beim besten Willen nicht…
@ Marek bzgl. TaiPan: Ich glaube das weiß er selbst nicht.
Ich als Android-Boy muss schon muss eben wissen, dass viel Macht (Android) auch immer Verantwortung mit sich bringt.
Wer einfach nur Tasten drückt und alles installiert was shiny aussieht sollte sich dann vielleicht tatsächlich besser ein (nicht! gejailbreaktes) iPhone besorgen.
Aber solche „Gefahren“ gehen auch als Ottonormalverbraucher schon gegen null, dafür gibt’s ja bewertungs- und kommentarfunktionen im market und außerdem wird einem vor dem Installieren jeder App IMMER aufgelistet, welche sicherheitsrelevanten Teile der API verwendet werden.
@Flo: Im Android-Market wird erstmal alles zuglassen, zumindest kann ich mir nicht vorstellen, dass in den paar Sekunden zwischen hochladen und erscheinen im Market viel geprüft wird. Die Anwendungen können aber rausfliegen, wenn sie von Anwendern als schädlich oder „unangemessen“ (Pr0n u.ä.) gemeldet werden, evtl. macht auch Google Stichproben.
Wie die auf die völlig überzogene Zahl von 20% kommen würde mich schon eher interessieren. Wurde da jede App als schädlich angesehen, die entsprechende Berechtigungen benötigt? Da wären ja schon die offiziellen Facebook- und Twitter-Apps Trojaner: Zugriff auf Adressbuch und Internet! Oder gar die alternativen SMS-Apps wie Handcent oder CompSMS. Und erst die ganzen Medienplayer, die bei einem Anruf pausieren (benötigt Anruferkennungs-Berechtigung) und Werbung anzeigen (Internet). Und man stelle sich vor, alternative Wählprogramme oder ICE-Apps („im Notfall bitte xxx anrufen“) können Anrufe starten!
Sicher, manche Berechtigungen sind zu weit gefasst, und Twitter könnte von den Berechtigungen her auch das Adressbuch sonstwohin schicken.
Aber deswegen ist ein Browser noch kein Sicherheitsrisiko, nur weil er die Benutzereingaben ins Internet schickt.
@Flo (FvC) ich kann @mort nur zustimmen. In dem Bericht wird jede Berechtigung als mögliches Sicherheitsrisiko angesehen. Jedoch im gegensatz zum iOS werden beim Android jedem User die benötigten Berechtigungen angezeigt. Beim iOS hat jede App Zugriff auf alles ohne spezielle Rechte haben zu müssen oder der Benutzer was weiß. Ich denke, dass beide Systeme im Kerne gute Ideen haben es aber kein sicheres System gibt. Danke für den Beitrag – ich werde das Thema nachehr noch in meinem Blog aufgreifen.
Der wesentliche Grund, warum der Apple App Store hier ‚besser‘ ist der, dass solche FUD (= Fear, Uncertainty and Doubt) Anwendungen gar nicht erst zugelassen werden und die merkwürdigen Anbieter solcher Produkte gar kein Geschäftsmodell aufbauen können.
Ich frage mich auch, welche Rechte man wohl so einer ‚Super‘ Anwendung einräumen muss, damit die dann alle anderen Anwendungen überwachen kann. Das wäre mir ehrlich gesagt unheimlicher….
Die Frage ist ja auch, inwieweit sich das für dubiose Programmierer lohnt. Sowohl bei Apple wie auch bei Google muss man eine Gebühr bezahlen, um Anwendungen im Market veröffentlichen zu dürfen – wenn der Account dann nach kurzer Zeit wieder gesperrt wird, geht das schnell ins Geld.
Ansonsten stimme ich Mort etc. zu – Android zeigt die Berechtigungen immer übersichtlich an und jeder kann selbst abwägen, ob das für ihn in Ordnung geht.
Phone App Security…
Glaube nur die Studien, die du auch selbst gefälscht hast. Trotzdem ist der Gedanke hinter der Studie von SMobile Systems, ihres Zeichens Hersteller von Anti-Spyware Apps für Smartphones, kein schlechter. Die Jungs haben nämlich die im Android Market …
[…] habe heute durch einen Artikel von basicthinking den Antrieb bekommen mal etwas genauer die Sicherheit des Androids zu beleuchten. Ich versuche es […]
Halbwegs passend zum Thema: Google stellt Android 2.2 (aka „Froyo“) vor…: http://android-developers.blogspot.com/2010/05/android-22-and-developers-goodies.html
Und noch etwas: Apple nimmt sich nun folgendes Recht heraus: „We may collect information such as occupation, language, zip code, area code, unique device identifier, location, and the time zone where an Apple product is used so that we can better understand customer behavior and improve our products, services, and advertising.“ Wem das nicht passt, der kann künftig offenbar nix mehr aus dem Store runterladen… Mehr dazu gibt es hier: http://www.thedailyswarm.com/headlines/shortly-after-espousing-privacy-apple-makes-geotracking-compulsory-itunes/
@Marek:
Ja, die Meldung kam eben sogar im Radio(!) und bestärkte meine Meinung zu geschlossenen Systemen mal wieder.
@Anonymous: Welche Meldung? 😉 Die ursprüngliche oder die letzte über Apple?
Passt halbwegs zum Thema: http://android-developers.blogspot.com/2010/06/exercising-our-remote-application.html
[…] Eine gezielte Panikmache, mit der Sicherheitsfirmen die Mobilfunk-Kunden bewusst verunsichern, um ihnen ihre Produkte und Dienstleistungen aufzwingen zu können, sieht René Pfeiffer darin offenbar nicht. Für den Organisator der internationalen Sicherheitskonferenz ist es vielmehr eine reale Gefahr: “Das GSM-Mobilfunknetz wird in 200 Ländern eingesetzt und besitzt eklatante Schwachstellen”. Und deren Tragweite ist seiner Einschätzung nach nicht unerheblich: “Nur wenige Menschen realisieren, dass das Mobilfunknetz für die persönliche und nationale Sicherheit ebenso relevant ist wie zum Beispiel das Stromnetzwerk”. […]
Moin, ich stimme dem Bericht in weiten Teilen, aber nicht komplett, zu.
Das Hauptrisiko ist IMHO Android selbst bzw. sein Distributionssystem. Alles klatscht verzückt in die Hände: open source, Linux Kernel, kostenlose Apps … ober wirklich 4free? Sind unsere persönlichen Daten, unser intimes Geflüster, unsere Kontakte, unsere Bewegungsmuster, unsere Kontodaten oder kurz all unsere Geheimnisse … so wenig wert? Denn all das vertrauen wir einem weltweit operierenden Infomationshandelsunternehmen an! Ja wir gehen sogar noch einen Schritt weiter und überantworten diesem Unternehmen sogar die Kontrolle über unser Gerät im Tausch gegen ein paar zweifelhaft nützliche Apps (siehe Nutzungsbedingungen App-Markt). Und für eine 70-Cent-Bezahlung schieben wir auch noch bereitwillig unsere Kontodaten hinterher. Tja, also meiner Meinung nach brauchen wir dann wirklich keine Security-Suite mehr … oder aber gerade deshalb? Blocken die auch „Android-nach-Hause-telefonieren“? Blocken die auch „BigBrother-is-GTalk-your-Device“? Einige mögen mich für schizo halten, aber ich persönlich bekomme Pickel, wenn mich jemand/ein Unternehmen derart penetrant angeht, ihm besondere Rechte einzuräumen oder Verträge einzugehen. Denn faktisch ist ein Großteil eines Android-Gerätes ohne Zwangsregistrierung nicht nutzbar, ohne Einräumung erweiterter Zugriffsrechte auf das Gerät ist es so gut wie unmöglich (Security-)Apps zu installieren und selbst wenn man bis hier her heilwegs verantwortungsbewusst mit Pseudonymen gearbeitet hat, könnte der Informationsriese den Benutzer mit Sicherheit über seine SIM identifizieren. Aber nicht genug, um eine (kostenpflichtige Security-)App letztendlich auch tatsächlich bezahlen und laden zu können, kommt man bei aller Vorsicht nicht umhin gegenüber Google seine Bankidentität zu offenbaren. Und damit haben wir sämtliche Science Fiction Visionen des letzten Kino-Jahrzehnts erfüllt. Ein Konzern hat die absolute Kontrolle über unser Leben! Gibt es ein MITM, dann hören auch noch andere mit. Dabei spielt in meinen Augen das kommerzielle Interesse noch eine untergeordnete Rolle. Das „geheimdienstliche“ Interesse dürfte weit höher liegen (mir fällt grad keine bessere Beschreibung ein). Und all das liefern die Handynutzer frei Haus … ohne Bundestrojaner, ohne Abhörprotokoll, ohne Durchsuchungsbefehl, ohne richterliche Anordnung.
Sei es drum. Nun könnte man anders meinen, wer keine Apps installiert sei sicher? Ich denke nicht. Ob Schurke oder Spaßvogel, es wird mit wachsender Verbreitung auch zu eMail-Würmern kommen, maligne Webseiten gibt es schon. Aus dieser Sicht, ist eine Security-Suite durchaus gerechtfertigt. Zumal wenn diese auch noch eine Verschlüsselung, Zugriffssperre oder Fernlöschung für den unglücklichen Fall eines Geräteverlustes bietet. Aber bitte … bitte liebe Sicherheitsexperten: als Standalone und nicht über den App-Markt!
[…] mehr Müll als im Apple-Store. Niemand kontrolliert da wirklich und das sorgt auch dafür, dass die Sicherheit der Android-Apps durchwachsen […]
Da muss ich aber jetzt mal einen Vorteil nennen. Mittlerweile ist die Bearbeitung der Rechte einer Android App schnell und unkompliziet möglich… das nenne ich einen Segen des offenen Systems! 🙂
Tutorial guckst du hier -> http://blog.widp.de/medien/android-apps-rechte-einschraenken
Gut, das mag heute vielleicht nicht mehr ganz so extrem aussehen – allerdings hat Apple’s AppStore immer noch den gewaltigen Vorteil, dass Apps, die ein wesentliches Sicherheitsrisiko darstellen, gar nicht erst veröffentlicht werden … die prüfen vor dem Release ja wirklich jede einzelne App.
Und auch kritische Lücken im mobilen Betriebssystem iOS werden nach Bekanntwerden in der Regel innerhalb kürzester Zeit gestopft.