Apps als Einfallstor

Gefahr für Android-Smartphones

10.11.2011
Es ist die Schattenseite des Erfolges: Die beliebten Android- Smartphones geraten ins Visier von Cyber-Kriminellen.

Die Angreifer nutzen aus, dass viele Anwender sorglos unbekannte Apps auf ihrem Gerät installieren - teils mit bösen Folgen.

Obacht: Nicht überall, wo "Angry Birds" draufsteht, ist auch nur Rovio drin (hier schon)...
Obacht: Nicht überall, wo "Angry Birds" draufsteht, ist auch nur Rovio drin (hier schon)...

Es ist die perfekte Maskerade: Das Handy-Spiel "Angry Birds" hat Millionen von Fans, die (sehn-) süchtig auf neue Level mit den rachsüchtigen Vögeln warten. Wer würde hinter der knallbunten Comic-Fassade etwas Böses vermuten? Wer ein Smartphone mit dem Betriebssystem Android hat, sollte aber besser genau hinsehen: Denn Kriminelle haben für diese Plattform wiederholt Apps angeboten, die aussehen wie das Originalspiel von Rovio - aber in Wahrheit den arglosen Nutzer ausspionieren.

Smartphones geraten immer mehr ins Visier von Datendieben und Hackern. Denn die kleinen Alleskönner sind auch Alleswisser, denen einige Nutzer nicht nur ihr Telefonbuch, sondern auch oft geheime Geschäftspost und Bankdaten anvertrauen. Zwar sind im Prinzip alle Smartphones-Systeme bedroht. Aber Android ist ein besonders lohnendes Ziel: Mittlerweile haben 43 Prozent aller neuen Smartphones eine Version der Google-Software installiert. Hinzu kommt: Das System ist wegen seiner großen Offenheit anfällig für Attacken.

Nun ist es nicht so, dass Android an sich unsicher ist. Google betont, dass die Programme in einer "Sandbox" laufen, also in einer abgeschotteten Umgebung: "Standardmäßig können Applikationen nicht miteinander interagieren und haben begrenzten Zugriff aufs Betriebssystem", erklärt das Unternehmen.

Doch es gibt ein Einfallstor für digitale Schädlinge: "Das Grundproblem sind die Apps", sagt der IT-Sicherheitsexperte Alexander Tsolkas - also die beliebten kleinen Programme, mit denen Nutzer ihr Gerät aufrüsten. Vor einer Installation auf einem Android-Gerät listet jedes Programm auf, was es auf dem Gerät tun darf - der Nutzer muss diese Berechtigungen mit "Akzeptieren und herunterladen" bestätigen.

Diese Hinweise sollen für Transparenz sorgen, verwirren aber viele Anwender. Muss ein Spiel "uneingeschränkten Internetzugriff" haben? Darf ein MP3-Spieler auf persönliche Informationen wie das Adressbuch zugreifen? Viele Smartphone-Besitzer sind mit diesen Detailfragen überfordert - und bestätigen, ohne genau hinzusehen. So wie bei der gefälschten Version von "Angry Birds". "Man sollte die Abfrage der Berechtigungen nicht den Nutzern überlassen, viele verstehen das nicht", sagt Tsolkas, der als selbstständiger Sicherheitsberater arbeitet.

Das Missbrauchspotenzial durch schädliche Apps ist groß. "Es kann zu Datenverlusten kommen", sagt Tsolkas. Angreifer können etwas das Adressbuch, den Browserverlauf oder die IMEI-Nummer auslesen, die jedes Gerät eindeutig identifiziert. Zudem drohten finanzielle Risiken, warnt der Experte: "Spionage-Programme können die Daten vom Homebanking abfangen, oder eine App kann kostenpflichtige SMS nach Russland schicken", nennt der Experte einige Beispiele.

Schädliche Apps können in Umlauf geraten, weil Google die Anbieter der Smartphone-Programme nicht so streng kontrolliert, wie Apple es bei seinem iTuns App Store tut. Die Hürden lassen sich nach Einschätzung der IT-Sicherheitsfirma Symantec (PDF-Link) relativ leicht umgehen. Zudem dürfen Nutzer unter Android auch Apps installieren, die nicht von der offiziellen Plattform stammen und gar nicht von Google überprüft werden. Bei Apple-Geräten ist das standardmäßig nicht möglich, sondern erst nach einer technischen Manipulation ("Jailbreak"), mit dem der Apple-Kunde aber ohnehin die Garantieansprüche verliert.

Eine Stärke der Androiden-Armee ist gleichzeitig eine weitere Schwachstelle: die Vielfalt. Das System kommt auf verschiedensten Geräten von Dutzenden Herstellern zum Einsatz. Wenn ein Update der Software herauskommt, bringt es längst nicht jeder Anbieter auf alle Modelle. Eine Statistik zeigt, dass in den USA nur ein kleiner Teil der Androiden eine aktuelle Version an Bord hat - mit der Folge, dass einige Sicherheitslücken offenbleiben. In Deutschland dürfte die Lage ähnlich sein. Beim iPhone von Apple gibt es dieses Problem nicht - hier kann der Nutzer selbst die aktuelle Version von iOS einspielen.

Wie weit das digitale Ungeziefer verbreitet ist, lässt sich nur ungenau beziffern. Google nennt keine Zahlen. Rund 1900 schädliche Programme hat der Sicherheitssoftware-Hersteller Kaspersky von Januar bis Oktober registriert - das sei die Hälfte aller Schädlinge für mobile Geräte, erklärte die Firma auf dpa-Anfrage. Im Vergleich zu Viren und Würmern für den PC ist das noch wenig. Experten erwarten allerdings, dass die Gefahr in den nächsten Jahren wachsen wird.

Immerhin: Wenn Infektionen bekannt werden, reagiert Google schnell. Bösartige Apps verschwinden oft binnen Stunden aus dem Android Market, so auch die gefälschten "Angry Birds". Vorher hatten allerdings zahlreiche Nutzer das Programm installiert - und den Spion gleich mit. (dpa/tc)