Zugegeben, die heute veröffentlichten Statistiken im neuen mobilen Sicherheitsreport von F-Secure überraschten mich. Okay, man muss sich beim Betrachten stets vor Augen halten, dass F-Secure im Grunde auch nur daran interessiert ist, seinen zeitlich begrenzten mobilen Abo-Virenschutz zu verkaufen. So läuft das eben. Für das Ablesen von Trends eignet sich die Statistik allerdings auch mit diesem Hintergrund. Der Bericht zeichnet ein alarmierendes Bild, in dem Google Android das einzige, übergewichtige schwarze Schaf auf der weitläufigen Weide ist. Dabei sind die prozentualen Unterschiede zu anderen Plattformen nicht nur gering, sondern spielen in ganz anderen Dimensionen. Ich habe mir den Bericht näher angeschaut und komme einmal mehr zu dem Ergebnis, dass strikte Restriktionen bei Fremdentwicklungen womöglich doch der bessere Weg sind.
Android als Einfallstor
Die Wachstumsraten sind exponentiell: Im Jahr 2012 gehen laut den Sicherheitsexperten von F-Secure 79 Prozent aller bösartigen Software auf das dunkle Konto von Android. Im Vorjahr waren es nur knapp 67 Prozent, ausgehend von 11,25 Prozent in 2010. Ein steiler Abstieg Anstieg. Doch wie kommt es zu diesen Zahlen? Ist es schlicht die weite Verbreitung von Android? Oder ist das mobile Betriebssystem von Google tatsächlich weitaus unsicherer als die Konkurrenten?
Es nur auf die Popularität zu schieben ist falsch. Zwar macht die Beliebtheit ein mobiles OS selbstverständlich für Angriffe attraktiver, da mehr potentielle Opfer existieren. Jedoch würde dies alleine nicht helfen, wenn die Wege auf die Plattform steinig wären. Es scheint, als wäre genau dies das Problem von Android. Denn Fakt ist: die Zahlen die F-Secure nennt, basieren allesamt auf Software, die aus fremder Feder stammt. Android als mobiles OS hingegen erfährt keine Analyse. Es sind die Apps.
Schadsoftware konkretisiert
F-Secure definiert in seinem Bericht „potentiell ungewollte Software“ als solche, die dem Benutzer gegebenenfalls einen Nutzen vorgaukelt, im Hintergrund aber Daten sammelt und versendet. Hier findet sich beispielsweise das Tool Battery Improve, das damit wirbt die Lebenszeit der Batterie verlängern zu können. Doch dann ohne Zutun des Benutzers unter anderem IMEI, Standortdaten und SDK-Version weitergibt – diese Informationen sind für das Verlängern der Akkulaufzeit eher weniger nützlich. Schmälern die Ladung vielmehr durch die Hintergrund-Aktivitäten und das Nutzen der Funk-Antenne.
Es folgt die Definition von „Malware“ als solche Software, die generell ein Sicherheitsrisiko für das System oder sensible Daten des Benutzers darstellt. Konkret finden Vorgänge im Hintergrund statt, die ungefragt Objekte installieren, löschen oder weitergeben – beispielsweise Kontaktdaten, Mails oder SMS-Inhalte. F-Secure gibt auch hier einige Beispiele. Um eines zu nennen: ein optisch als Adobe Flashplayer getarntes Schadprogramm, das Benutzer beim Öffnen auf eine bösartige Website leitet. Ziel ist es, durch falsches Vertrauen in irgendeiner Weise an das Geld des Nutzers zu kommen. Stichwort Eurograbber.
Statistik durchleuchtet
141 Bedrohungen in Google Android waren im vierten Quartal 2012 profitorientiert, also auf Geld aus. Bei Symbian immerhin 29. Das krasse Gegenteil: Bei iOS fand sich keine einzige Abzock-Bedrohung, die Euros ergaunern wollte.
Nach der Statistik von F-Secure fanden sich 2012 insgesamt 301 Bedrohungen in der mobilen Welt. Davon fallen 79 Prozent auf Android, 19 Prozent auf das sterbende Symbian und nur zwei Prozent insgesamt auf die verbleibenden Systeme iOS, Windows Mobile, BlackBerry OS und J2ME.
Im gesamten vergangenen Jahr tauchten insgesamt 238 neue Bedrohungen für das Google-Betriebssystem auf. Bei iOS waren es zwei. Leider ist etwas unklar, ob F-Secure sich auf das totgeglaubte Windows Mobile bezieht oder auch das neue Windows Phone in seine Statistik integriert.
Über 60.000 Angriffe in Q4 2012
Im vierten Quartal 2012 registrierte F-Secure in der Summe 60.326 Angriffe auf Android-Smartphones. In Quartal drei waren es 51.447 Attacken. Auffällig ist, dass in den ersten beiden Quartalen die Zahlen weitaus geringer ausfallen, nämlich 3063 (Q1) und 5033 (Q2). Recht erklären kann ich mir diesen Sprung nicht, womöglich begründet in der schnellen und weitläufigen Verbreitung von Eurograbber? F-Secure gibt keine eindeutige Antwort, nennt immerhin die Gruppe der (Premium)SMS-Malware und Banking-Trojaner als besonders auffällig in diesen Zeitabschnitten.
Zustimmung – naiv und schnell
Ob Malware oder ungewollte Müll-Software: bei der Installation neuer Programme ist es der Benutzer, der die Freigabe selbst erteilt. Bei jeder neu installierten App muss in Android die Zustimmung für die Nutzung und Weitergabe sensibler Daten gegeben werden. Dies gilt auch für den Zugriff auf Schnittstellen des Smartphones. Leider dürfte der Großteil der Nutzer aus Unwissenheit, Naivität, Gleichgültigkeit oder einer Mischung aus allem einfach zustimmen. Dafür kann Google nichts.
Jedoch leuchtet mir nicht ein, wieso der Zugriff auf sensible Daten auch dann möglich ist, wenn der Sinn eines Tools oder einer App mit diesen ganz und gar nichts zu tun hat. Hier sollte Google vielleicht nachbessern und mit wenig Aufwand und mehr Restriktionen für mehr Sicherheit sorgen. Dass das automatisierte Freischaltverfahren offensichtlich Schwächen hat, belegt die vorliegende Analyse.
Mensch ist automatisierten Scannern überlegen
Google prüft in den Play Store hochgeladene Software mit dem selbst entwickelten „Google Bouncer“ seit Februar 2012 automatisch auf Viren und Schadstellen. Der App-Türsteher ist nach der Analyse von Spezialisten allerdings zu gutmütig. Wohl treffender sogar ineffizient, betrachtet man die negative Entwicklung.
Android ist Open Source. Und die zeichnet sich dadurch aus, dass Veränderungen am System prinzipiell erlaubt sind. Kein Wunder also, dass die Prüf-Modalitäten im Google Play Store etwas weniger drakonisch sind, als bei einem geschlossenen, unveränderbaren System wie beispielsweise iOS. Man kann Apple mit seiner restriktiven und strengen App-Store-Strategie viel vorwerfen – dass dies neben Qualitätssicherung jedoch zu Gunsten der Sicherheit geschieht, darf man freilich nicht vergessen. Für die Sicherheit also weniger Offenheit? Ich würde es begrüßen.
