So wird Android sicher

15.03.2012
Moderne Smartphones bieten heute eine Rechenleistung, die bis vor wenigen Jahren PCs vorbehalten war. Viele Anwender vergessen jedoch, dass Plattformen wie Android auch ähnlich aufmerksam geschützt werden müssen wie PCs.

Glaubt man der Vorhersage der Netzspezialisten von Cisco, wird es bereits in diesem Jahr auf der Erde mehr mobile Endgeräte als Menschen geben. Einen großen Anteil an diesem Wachstum werden die Smartphones unter Googles Betriebssystem Android haben. Vom ersten "offiziellen" Android-Gerät, dem "T-Mobile G1" (bei dem es sich übrigens um das "HTC Dream" handelte), bis hin zum "Galaxy Nexus" hat sich Android rasant verbreitet und mindestens ebenso schnell weiterentwickelt.

Viele Kritiker meinen, dass gerade diese schnelle Entwicklung in Kombination mit der Vielzahl von Endgeräte-Anbietern einer der großen Schwachpunkte dieses Systems und damit der mit Android betriebenen Geräte ist: Nach ihrer Meinung bleibt deshalb viel zu häufig die Sicherheit auf der Strecke. Der schnelle Versionswechsel sowie die uneinheitliche Update-Politik der Smartphone-Anbieter, die gerade ältere Systeme nicht auf dem aktuellen Betriebssystem-Stand halten, erschwerten die Sicherheitslage zusätzlich.

Android: Das Betriebssystem

Wer die Frage nach dem derzeit erfolgreichsten Linux-System am Markt stellt, wird eine Überraschung erleben: Es handelt sich dabei nicht etwa um Ubuntu, Debian, Fedora oder gar Suse. Die quelloffene und freie Software Android, die auf dem Linux-Kernel 2.6 aufsetzt, ist mit einem weltweiten Marktanteil von 52,5 Prozent sogar der Platzhirsch unter den Smartphone-Betriebssystemen. Diese Zahlen stammen von Gartner und beziehen sich auf das dritte Quartal 2011. Im Jahr zuvor lag Android mit einem Marktanteil von 25,5 Prozent im globalen Smartphone-Geschäft noch auf einem der hinteren Ränge.

Bereits im Sommer 2005 kaufte Google die bis dato unbekannte Softwareschmiede Android, die zwei Jahre zuvor von Andrew Rubin gegründet worden war. Im Oktober 2008 wurde Android dann erstmals auch als Betriebssystem für Mobiltelefone vorgestellt. Mit den an die Java-Standard-Edition angelehnten Klassenbibliotheken, der ebenfalls auf Java basierenden virtuellen Maschine "Dalvik" (Dalvik Virtual Machine = DVM), einer integrierten SQLite-Datenbank und einer OpenGL-basierten 3D-Grafikbibliothek bietet Android eine attraktive Plattform für Softwareentwickler - was sich auch an der großen Zahl der Apps ablesen lässt, die im Android Market zum Download bereitstehen.

Android und die Sicherheit

Doch wie sieht es mit den Risiken für das Betriebssystem und damit für die mobilen Geräte aus, die auf dieser Plattform aufsetzen? Eine Gefahrenquelle besteht grundsätzlich darin, dass es bei vielen Android-Geräten für die Anwender möglich ist, die vollständige Kontrolle über Gerät und System zu übernehmen: Durch das Ausnutzen von Lücken erlangt man alle Rechte des Superusers "Root" (den Android von Linux geerbt hat). Bei derart "gerooteten" Geräten ist prinzipiell alles möglich: So können die Benutzer zum Beispiel Programme mit Funktionen installieren, die im Normalfall verwehrt bleiben würden. Dadurch steigt das Sicherheitsrisiko enorm.

In der Standardkonfiguration werden alle Anwendungen in sogenannten Sandboxen ausgeführt, also in abgeschlossenen Umgebungen. Dadurch ist die grundsätzliche Gefahr für das Gesamtsystem gering, da systemrelevante Dateien in der Regel nicht verändert werden können. Ganz anders bei den "gerooteten" Geräten: Hier kann alles verändert werden, da der Superuser (oder Root) auf den Linux/Unix-Systemen traditio-nell uneingeschränkte Rechte besitzt, was Schadsoftware dann entsprechend ausnutzen kann. Wer sein Telefon "rooten" möchte, sollte sich diesen Schritt deshalb genau überlegen und besonders kritisch alle Anwendungen prüfen, die unbedingt Root-Rechte voraussetzen.

Welche Gefahren drohen Android?

Doch es lauern weitere Gefahren auf die Anwender mit Android-Geräten. Die Experten von Lookout und Kaspersky sind sich in ihren Analysen einig: Die Bedrohungen für mobile Anwendungen auf der Android-Plattform werden noch zunehmen. So gibt es bereits Angriffe, die sich auf ein Einfallstor spezialisieren, das so auf PCs nicht vorhanden ist und das leider von den Anwendern häufig nicht als Sicherheitslücke vorgenommen wird: SMS-Nachrichten. Folgende Gefahren werden nach einhelliger Meinung der meisten Experten die mobilen Android-Geräte im Jahr 2012 verstärkt bedrohen:

•Mobile Pickpocketing (SMS oder Call Fraud): Dieser "Taschendiebstahl der mobilen Art" wird deshalb möglich, weil viele Mobiltelefone eine Abrechnung per SMS ermöglichen und Betriebssysteme wie Android standardmäßig keine Kontrolle über diese Daten besitzen. Der Trojaner "GGTracker" war einer der ersten dieser Angriffe auf Android-Systeme.

•Aber nicht nur die SMS, sondern auch Botnetze jeder Art sind eine Gefahr: So haben viele bösartige Apps bereits dafür gesorgt, dass eine große Zahl von Mobilgeräten in solche Botnetze integriert wurde. Beispiele hierfür sind der Trojaner "Geinimi" und die recht bekannte Malware "DroidDream", die auch in Apps im Android-Market auftauchte.

•DroidDream ist auch deshalb besonders, weil diese Malware entsprechende Schwachstellen der mobilen Telefone ausnutzt. Auch hier müssen sich die Anwender immer wieder bewusst machen, dass sie es mit sehr komplexen Softwarelösungen zu tun haben, die fast selbstverständlich Lücken aufweisen werden.

Was Anwender tun können

Wie schon auf PC-Systemen kann den Anwendern aller Mobilgeräte und besonders natürlich denen, die ein Android-Modell einsetzen, nur empfohlen werden, beim Gebrauch den gesunden Menschenverstand zu bemühen. Die folgenden Sicherheitsratschläge können dabei helfen:

•Rooten Sie auf keinen Fall ihr Android-Handy und misstrauen Sie grundsätzlichen allen Apps, die nur mit einem "gerooteten" System funktionieren.

• Installieren Sie keine Betriebssystem-Versionen aus dubiosen Internet-Quellen: Es mag schmerzlich sein, dass der Hersteller Ihres Mobiltelefons kein Update auf eine aktuelle Android-Version anbietet - aber eine neuere Version aus einer unbekannten Quelle wird die Sicherheit nicht erhöhen.

•Installieren Sie genau wie bei Ihrem Windows-PC unbedingt die Updates, die vom Hersteller geschickt werden.

•Vermeiden Sie die Installation von Anwendungen aus unbekannten Quellen und schalten sie diese Option im Einstellungsmenü von Android aus.

•Gerade mit Smartphones ist die Versuchung groß, über offene WLANs ins Internet zu gehen. Denken Sie daran, dass dann alle Daten im Klartext durch das Netz fließen - das gilt auch für die Passwörter der E-Mail oder der Banking-App, solange diese Anwendungen bei der Verbindung nicht explizit einen sicheren Tunnel aufbauen;

•Installieren Sie eine Sicherheitssoftware auf Ihrem mobilen Gerät, die im Zweifelsfall auch in der Lage ist, die Daten auf dem Android-Smartphone aus der Ferne zu löschen. Mittlerweile gibt es etliche Security-Lösungen auf dem Markt, die zum Teil in ihren Basisversionen auch kostenlos zu haben sind.

Software für kostenlose Sicherheit

Diese Auflistung potenzieller Sicherheits-lücken in Android macht es deutlich: Die Benutzer sollten sich nicht von den kleinen Abmessungen ihres Smartphones oder Tablet-PC in die Irre führen lassen. Es handelt sich bei diesen Geräten um beinahe ausgewachsene Computer. Die Gefahr, sich auf einem Android-basierten Computer mit einem Virus oder Trojaner zu infizieren, ist ähnlich hoch wie auf einem Windows-Rechner.

AVG Free für Android

Antivirenlösungen gibt es inzwischen auch für Android-Systeme in breiter Auswahl. Wir haben uns mit zwei Angeboten näher beschäftigt. Das ist zum einen eine kostenfreie Software des Anbieters AVG. Beinahe 135.000 positive Bewertungen für dieses Programm und fünf Sterne im Android Market sprechen für sich. Das Security-Werkzeug "AVG Free für Android" funktioniert wie folgt:

Direkt nach dem Download und der Installation durchsucht die Software zunächst einmal das gesamte System, ob es bereits von gefährlichen Schadprogrammen befallen ist. Praktischerweise prüft AVG dar-über hinaus auch die Einstellungen auf potenzielle Unsicherheitsfaktoren. Ist beispielsweise die Einstellung "USB-Debugging" aktiviert, so wird das als mögliches Sicherheitsrisiko eingestuft und der Anwender entsprechend darauf hingewiesen. Auch die nicht ratsame Einstellung, dass auch aus nicht vertrauenswürdigen Quellen eine Installation von Software vorgenommen werden darf, bemängelt das Sicherheits-Tool.

Durch einen Fingerdruck kann der Anwender aus dem AVG-Fenster den jeweiligen Einstellungsdialog öffnen und die risikobehaftete Einstellung direkt abschalten. Soll eine Einstellung dauerhaft aktiv bleiben, beispielsweise der von Softwareentwicklern benötigte "USB-Debugging-Mode", ist es durch das Setzen eines Häkchens möglich, diesen Warnhinweis nie wieder anzeigen zu lassen.

Ein Diebstahlschutz mit Mobiltelefon-Finder über eine AVG-eigene Website, eine gezielte Telefonsperre und die Remote-Löschung runden das kostenlose Programm ab, das ab der Android-Version 1.6 eingesetzt werden kann.

In der kostenpflichtigen ProfessionalVersion wird die App zusätzlich mit einer Backup- und Tuning-Software und einem Privatsphärenschutz für gesperrte Apps weiter aufgewertet.

Fazit: Bei unseren Tests entdeckte AVG Free zwar die EICAR-Testsignatur auch in ZIP-Archiven, war aber leider nicht in der Lage, typische Windows-Viren, die wir über die SD-Karte auf ein Android-Tablet kopiert haben, zu finden und den Nutzer entsprechend zu alarmieren. Zwar können diese Programme dem Android-Gerät nichts anhaben, dennoch kann das Device leicht als Zwischenspeicher dienen, von dem aus die Viren dann bei der nächsten Synchronisation auf den Windows-PC gelangen.

Lookout Mobile Security

Der Hersteller Lookout, der sich auf die Sicherheit mobiler Systeme spezialisiert hat, bietet seit Dezember 2011 ebenfalls eine deutschsprachige Version seiner Security-Lösung "Lookout Security & Antivirus" an. Für die meisten Anwender dürfte bereits die "normale" Security- und Antiviruslösung des Herstellers die interessanteste Anwendung sein. Ähnlich wie andere Anbieter bietet auch Lookout dem Android-User eine kostenlose und eine deutlich erweiterte und kostenpflichtige Premium-Version dieser App an. Aber auch die Freeware kann schon mit vielen Sicherheitsfunktionen punkten:

• Schutz vor Spyware und Malware: Die Software prüft nach der Installation alle Apps auf dem Telefon und scannt automatisch jede neu hinzukommende App auf Bedrohungen.

• Backup-Möglichkeit: Die Daten auf dem Smartphone lassen sich nach einem Zeitplan automatisch oder auch direkt "per Hand" auf die Seite des Herstellers sichern. Erst mit der kostenpflichtigen Premium-Version funktioniert das allerdings auch für Bilder und die Anrufhistorie - was praktisch bei der Einrichtung eines neuen Systems ist.

•Geräteortung: Mit Hilfe dieser Funktion kann das Gerät über den Account beim Hersteller (den der Anwender anlegen muss) im Zweifelsfall wieder aufgespürt werden. Mit der Premium-Version kommen an dieser Stelle Features hinzu, die dem Anwender das Sperren des Geräts und das Löschen von Daten aus der Ferne ermöglichen.

Darüber hinaus bietet nur die Premium-Version zwei weitere Features, die der Hersteller als "App-Berater" und "Sicher surfen" bezeichnet. Während die Funktion "Sicher surfen" vor Phishing und Malware in Links oder beim Surfen mit dem Web-Browser schützen soll, zeigt der App-Berater sehr genau, welche Apps auf dem Telefon beispielsweise den Standort nachverfolgen oder auf die persönlichen Daten zugreifen.

Neben diesem klassischen Sicherheitswerkzeug bietet Lookout darüber hinaus weitere Apps an, die Anwendern helfen sollen, die Sicherheit ihrer Android-Smartphones zu erhöhen:

•Carrier-IQ-Detector: Vor nicht allzu langer Zeit haben Sicherheitsfachleute festgestellt, dass einige mobile Geräte Software der Firma Carrier IQ vorinstalliert haben, die durchaus als Root-Kit, zumindest aber als Spionagesoftware bezeichnet werden kann. Sie soll offenbar dazu dienen, wichtige Systeminformatio-nen an den Netz-Provider weiterzuleiten, damit dieser die Netzqualität verbessern kann. Mit dem Carrier-IQ-Detector gibt es nun eine App, die den Datenlogger und auch andere Schnüffel-Apps entdeckt. Das Entfernen muss der Anwender allerdings selbst bewältigen.

•Ad Network Detector: Untersucht das Telefon oder Tablet darauf, ob eines der bekannten Netzwerke für Anzeigen (Ad Networks) auf seinem Android-Gerät aktiv ist. Die App zeigt dem Anwender auch an, welche seiner Apps auf dem Gerät die Verbindung zu diesem Netzwerk aufbaut.

• Mobile Threat Tracker: Eine visuell ansprechende App, die über den aktuellen Stand der mobilen Bedrohungen informiert: Dieses Tool dient der Aufklärung und gibt wertvolle Hinweise.

Schon die freie Version der Software von Lookout bietet dem Anwender eine ganze Menge Schutz: Im Gegensatz zur Lösung von Avast oder der Security-Lösung von Kaspersky, die wir auf einem älteren Android-System einsetzten, bemerkte diese Lösung den EICAR-Test-String auf der SD-Karte aber nicht. Auch hier kann man sicher einwenden, dass diese Art von Viren sowieso nicht gefährlich sind für Android-Systeme, trotzdem bleibt ein ungutes Gefühl, wenn diese einfache Textdatei, die der Anwender in der Regel nur mit großer Mühe an den Standard-Schutzprogrammen auf einem PC vorbeibringt, so völlig ignoriert wird.

Fazit: Aufmerksamkeit ist geboten

Zum Abschluss noch eine beruhigende Erfahrung, die wir bei unseren Tests mit Android-Telefonen und -Tablets machen konnten: Anders, als es die häufige Panikmache in Medien glauben machen könnte - gerade Android ist Gegenstand entsprechender Berichte -, ist ein erfolgreicher Angriff auf ein Standard-Android-Gerät, auf dem sich die üblicherweise installierte Software befindet und das nicht vom Anwender manipuliert (= gerootet) wurde, glücklicherweise nicht so einfach zu bewältigen. So haben wir im Testlabor ein Tablet-PC mit Android 2.3.5. mit Apples Portscanner für Mac OS 10.5 eingehend übergeprüft, ohne dass ein geöffneter Port als Lücke entdeckt werden konnte. Einen entsprechenden Online-Portscanner bietet beispielsweise der Landesbeauftragte für den Datenschutz des Landes Niedersachsen an.

Eine daraufhin von uns gestartete Suche mit "Nexpose", einem in der Community Edition freien Vulnerability-Scanner, ergab zwar zumindest eine theoretische Lücke im ICMP-Zeitstempel. Diese Schachstelle wurde jedoch bereits 1997 dokumentiert. Wir griffen diese Lücke mit Hilfe der Penetrationstest-Software "Metasploit" an. Unsere Attacke verlief allerdings ergebnislos - wir konnten das Gerät auf diese Weise nicht knacken.

Anwender, die bewusst mit ihren Android-Geräten umgehen und bei diesen mindes-tens ebenso viel Vorsicht walten lassen, wie sie es sinnvollerweise bei einem PC- beziehungsweise Notebook-System tun, mit dem sie sich beispielsweise in einem öffentlichen WLAN befinden, können von der Vielfalt und den vielen Möglichkeiten des Android-Betriebssystems und der riesigen Auswahl an Apps profitieren. Zudem sollte ein Android-Anwender seine Aufmerksamkeit im Hinblick auf die Sicherheit auch auf solche telefontypischen Funktionen wie SMS richten und auf jedem Fall eine entsprechende Sicherheitssoftware auf seinem System einsetzen. (ba)

Thomas Bär und Frank-Michael Schlede sind freie IT-Journalisten.

Android-Versionshistorie

Version

Codename

Erscheinungsdatum

1.0

Base

2008

1.1

Base_1_1

Februar 2009

1.5

Cupcake

Mai 2009

1.6

Donat

September 2009

2.0 (2.01/2.1)

Eclair

November 2009/Januar 2010 (2.1)

2.2

Froyo

Juni 2010

2.3 (2.3.3)

Gingerbread

November 2010/Februar 2011 (2.3.3)

3.0 (3.1/3.2)

Honeycomb

Februar 2011/Juni 2011 (3.2)

4.0 (4.03)

Ice Cream Sandwich

Oktober 2011/Dezember 2011

5.0

Jelly Bean

Soll 2012 erscheinen

Weitere Security-Lösungen für Android

Plan B: "Plan B" gelangt erst zum Einsatz, wenn es schon zu spät und das Smartphone abhandengekommen ist. Die App wird einfach remote über den Android Market auf das Smartphone aufgespielt und schickt im Anschluss die aktuellen Positionsdaten an die dem Account zugeordnete Google-Mail-Adresse.

Theft Aware: "Theft Aware" erlaubt es dem Eigentümer, mit seinem gestohlenen beziehungsweise verloren gegangenen Handy einfach per SMS zu kommunizieren. Auf diese Weise erfährt der Besitzer etwa über das GPS-System, wo sein Telefon gerade steckt. Außerdem besitzt Theft Aware eine Datenabruffunktion, um Kontakte, Anruf- protokolle und SMS-Nachrichten vom gestohlenen Handy auf ein anderes zu übertragen. Anschließend können die Smartphone-Inhalte dank einer Löschfunktion via SMS entfernt werden.

Dr. Web Antivirus Light: "Dr. Web" durchsucht das interne Dateisystem auf dem mobilen Device und scannt die SD-Card auf verdächtige Inhalte. Die kostenpflichtige Vollversion unterstützt außerdem das Führen einer Black- und Whitelist.

Bitdefender Android: "Bitdefender for Android" bietet zahlreiche Features wie beispielsweise einen Schutz vor Diebstahl durch Handy-Ortung und Remote Lock and Wipe. Vorgesehen sind außerdem Sicherheits-Scans von SD-Card und internem Speicher wie auch von neu geladenen Inhalten und Programmen. Außerdem hält die App den Smartphone-Besitzer stets über den aktuellen Bedrohungszustand seines Geräts auf dem Laufenden.

ESET Security: Die kostenlose ESET-Lösung untersucht Apps, Dateien, Ordner und Speicherkarten nach Trojanern, Spyware, Adware und anderen Bedrohungen. Außerdem gibt sie Auskunft über den allgemeinen Zustand des Geräts wie beispielsweise Akkuladung, freien Speicherplatz und laufende Anwendungen. Weitere Features sind Remote Find, Lock and Wipe via SMS sowie eine Black- und Whitelist für Anrufe und SMS.