Die Angreifer nutzen aus, dass viele Anwender sorglos unbekannte Apps auf ihrem Gerät installieren - teils mit bösen Folgen.
Es ist die perfekte Maskerade: Das Handy-Spiel "Angry Birds" hat Millionen von Fans, die (sehn-) süchtig auf neue Level mit den rachsüchtigen Vögeln warten. Wer würde hinter der knallbunten Comic-Fassade etwas Böses vermuten? Wer ein Smartphone mit dem Betriebssystem Android hat, sollte aber besser genau hinsehen: Denn Kriminelle haben für diese Plattform wiederholt Apps angeboten, die aussehen wie das Originalspiel von Rovio - aber in Wahrheit den arglosen Nutzer ausspionieren.
Smartphones geraten immer mehr ins Visier von Datendieben und Hackern. Denn die kleinen Alleskönner sind auch Alleswisser, denen einige Nutzer nicht nur ihr Telefonbuch, sondern auch oft geheime Geschäftspost und Bankdaten anvertrauen. Zwar sind im Prinzip alle Smartphones-Systeme bedroht. Aber Android ist ein besonders lohnendes Ziel: Mittlerweile haben 43 Prozent aller neuen Smartphones eine Version der Google-Software installiert. Hinzu kommt: Das System ist wegen seiner großen Offenheit anfällig für Attacken.
Nun ist es nicht so, dass Android an sich unsicher ist. Google betont, dass die Programme in einer "Sandbox" laufen, also in einer abgeschotteten Umgebung: "Standardmäßig können Applikationen nicht miteinander interagieren und haben begrenzten Zugriff aufs Betriebssystem", erklärt das Unternehmen.
Doch es gibt ein Einfallstor für digitale Schädlinge: "Das Grundproblem sind die Apps", sagt der IT-Sicherheitsexperte Alexander Tsolkas - also die beliebten kleinen Programme, mit denen Nutzer ihr Gerät aufrüsten. Vor einer Installation auf einem Android-Gerät listet jedes Programm auf, was es auf dem Gerät tun darf - der Nutzer muss diese Berechtigungen mit "Akzeptieren und herunterladen" bestätigen.
Diese Hinweise sollen für Transparenz sorgen, verwirren aber viele Anwender. Muss ein Spiel "uneingeschränkten Internetzugriff" haben? Darf ein MP3-Spieler auf persönliche Informationen wie das Adressbuch zugreifen? Viele Smartphone-Besitzer sind mit diesen Detailfragen überfordert - und bestätigen, ohne genau hinzusehen. So wie bei der gefälschten Version von "Angry Birds". "Man sollte die Abfrage der Berechtigungen nicht den Nutzern überlassen, viele verstehen das nicht", sagt Tsolkas, der als selbstständiger Sicherheitsberater arbeitet.
Das Missbrauchspotenzial durch schädliche Apps ist groß. "Es kann zu Datenverlusten kommen", sagt Tsolkas. Angreifer können etwas das Adressbuch, den Browserverlauf oder die IMEI-Nummer auslesen, die jedes Gerät eindeutig identifiziert. Zudem drohten finanzielle Risiken, warnt der Experte: "Spionage-Programme können die Daten vom Homebanking abfangen, oder eine App kann kostenpflichtige SMS nach Russland schicken", nennt der Experte einige Beispiele.
Schädliche Apps können in Umlauf geraten, weil Google die Anbieter der Smartphone-Programme nicht so streng kontrolliert, wie Apple es bei seinem iTuns App Store tut. Die Hürden lassen sich nach Einschätzung der IT-Sicherheitsfirma Symantec (PDF-Link) relativ leicht umgehen. Zudem dürfen Nutzer unter Android auch Apps installieren, die nicht von der offiziellen Plattform stammen und gar nicht von Google überprüft werden. Bei Apple-Geräten ist das standardmäßig nicht möglich, sondern erst nach einer technischen Manipulation ("Jailbreak"), mit dem der Apple-Kunde aber ohnehin die Garantieansprüche verliert.
Eine Stärke der Androiden-Armee ist gleichzeitig eine weitere Schwachstelle: die Vielfalt. Das System kommt auf verschiedensten Geräten von Dutzenden Herstellern zum Einsatz. Wenn ein Update der Software herauskommt, bringt es längst nicht jeder Anbieter auf alle Modelle. Eine Statistik zeigt, dass in den USA nur ein kleiner Teil der Androiden eine aktuelle Version an Bord hat - mit der Folge, dass einige Sicherheitslücken offenbleiben. In Deutschland dürfte die Lage ähnlich sein. Beim iPhone von Apple gibt es dieses Problem nicht - hier kann der Nutzer selbst die aktuelle Version von iOS einspielen.
- Lookout Security & Antivirus
Die kostenlose Lookout-App beschützt Android-Smartphones vor Phishing, Malware und Spyware. - Lookout Security & Antivirus
Dazu prüft Lookout jede neu geladene App und stellt sicher, dass sie ungefährlich ist. - Lookout Security & Antivirus
Weitere Funktionen sind Handy-Ortung sowie Daten-Sicherung und - wiederherstellung. Die Premiumversion bietet zusätzlich Schutz vor Malware- und Phishing-Websites, Remote Lock & Wipe... - Plan B
Die App wird einfach remote über den Android Market auf das Smartphone aufgespielt und schickt im Anschluss die aktuellen Positionsdaten an die dem Account zugeordnete Google-Mail-Adresse. - Theft Aware
"Theft Aware" erlaubt es dem Eigentümer, mit seinem gestohlenen bzw. verlorenen Handy ganz einfach per SMS zu kommunizieren. - Theft Aware
Auf diese Weise erfährt er etwa über das GPS-System, wo sein Telefon gerade steckt. - Theft Aware
Außerdem besitzt Theft Aware eine Datenabruf-Funktion, um Kontakte, Anrufprotokolle und SMS-Nachrichten vom gestohlenen Handy auf ein anderes zu übertragen. Anschließend können die Smartphone-Inhalte dank einer Löschfunktion via SMS entfernt werden. - Dr.Web Antivirus Light
Dr. Web durchsucht das interne Dateisystem ... - Dr.Web Antivirus
und scannt die SD-Card nach verdächtigen Inhalten. - Dr.Web Antivirus
Die kostenpflichtige Vollversion unterstützt außerdem das Führen einer Black/Whitelist. - Plan B
Anders als übliche Security-Anwendungen kommt "Plan B" erst dann zum Einsatz, wenn schon alles zu spät ist. - Bitdefender Android
Zwar aktuell noch im Beta-Stadium, bietet Bitdefender for Android zahlreiche Funktionen. Dazu zählen Anti-Diebstahl-Schutz Funktion (Handy-Ortung, Remote Lock & Wipe)... - Bitdefender Android
...Sicherheits-Scans von SD-Card und internem Speicher (regelmäßig) sowie von neu geladenen Inhalten und Programmen. - Bitdefender Android
Außerdem hält die App den Smartphone-Besitzer stets über den aktuellen Bedrohungszustand seines Geräts auf dem Laufenden. - ESET Security
Die kostenlose ESET-Lösung untersucht Apps, Dateien, Ordner und Speicherkarten nach Trojanern, Spyware, Adware und andere Bedrohungen. - ESET Security
Außerdem gibt sie Auskunft über den allgemeinen Zustand des Geräts wie Akkuzustand, freier Speicherplatz, laufende Anwendungen etc. - ESET Security
Weitere Features sind Remote Find, Lock & Wipe via SMS sowie eine Black/White-List für Anrufe und SMS. - AVG Antivirus
AVG Antivirus scannt Anwendungen, Einstellungen, Dateien und Medien in Echtzeit. - AVG Antivirus
Außerdem kann der Nutzer Backups von Kontakten, Anrufprotokollen, Lesezeichen und anderne wichtigen Daten erstellen. - AVG Antivirus
Auch die Ortung eines verlorenen oder gestohlenen Handys ist möglich.
Wie weit das digitale Ungeziefer verbreitet ist, lässt sich nur ungenau beziffern. Google nennt keine Zahlen. Rund 1900 schädliche Programme hat der Sicherheitssoftware-Hersteller Kaspersky von Januar bis Oktober registriert - das sei die Hälfte aller Schädlinge für mobile Geräte, erklärte die Firma auf dpa-Anfrage. Im Vergleich zu Viren und Würmern für den PC ist das noch wenig. Experten erwarten allerdings, dass die Gefahr in den nächsten Jahren wachsen wird.
Immerhin: Wenn Infektionen bekannt werden, reagiert Google schnell. Bösartige Apps verschwinden oft binnen Stunden aus dem Android Market, so auch die gefälschten "Angry Birds". Vorher hatten allerdings zahlreiche Nutzer das Programm installiert - und den Spion gleich mit. (dpa/tc)