TU-Wien-App zeigt Gefahren unter Android auf
Dieser Artikel ist älter als ein Jahr!
Das IT-Sicherheitsteam der TU Wien (seclab) hat mit „Andrubis“ eine App für Android-Smartphones (erhältlich im Google Play Store) entwickelt, bei der man andere Apps auf Sicherheitsrisiken untersuchen kann. Die kostenlose App wurde von Martina Lindorfer und Alexj Strelzow programmiert, für das Backend-System waren sechs weitere Studierende tätig.
Das Besondere an der App: Die Untersuchung auf Malware findet nicht statisch statt, sondern dynamisch. Der Code von den zu untersuchenden Apps wird an die Server der TU Wien geschickt. „Auf unserem Server lassen wir die App dann laufen, und nach einigen Minuten senden wir eine Meldung darüber zurück, ob diese App irgendwelche bedenklichen Aktionen durchführt“, erklärt Christian Platzer, Leiter des seclab der TU Wien.
Automatische Analyse
Auf einer Linux-Umgebung wird ein komplettes Handy emuliert. In kurzer Zeit wird automatisch möglichst viel Information über die App gesammelt. „Wir können dabei genau überprüfen, mit wem die App zu kommunizieren versucht, und wir sehen uns alle URLs an, die im Code der App vorkommen“, erklärt Platzer. „Manchmal stößt man da auf alte Bekannte – auf Internetserver, die für illegale Aktivitäten bekannt sind.“
Das Rating für die App wird dabei nicht von Menschen, sondern automatisch generiert. Wenn etwa Werbung in der App enthalten ist, oder eine App ungerechtfertigterweise besonders viele Zugriffe (z.B. auf Kamera und Kontakte) haben möchte, dann wird das Rating möglicherweise schlechter ausfallen. Gefüttert wurde das automatisierte Rating-System mit Feeds von Antiviren-Herstellern. Apps, die „ganz sicher böse“ sind, würden bestimmte Code-Teile aufweisen, erklärt Platzer gegenüber der futurezone. Genau diese Codeteile werden dann in Kopien von beliebten Spielen wie Angry Birds platziert, um Daten von Nutzern ohne deren Wissen abzusaugen.
Malware im Hintergrund
„Smartphone-Nutzer bekommen das häufig gar nicht mit, wenn eine App im Hintergrund Daten verschickt und Malware enthält“, erzählt Platzer. Hauptverantwortlich für das Erstellen der Ratings war Lindorfer, die ihre Dissertation in dem Bereich geschrieben hat. Durch diese Ratings lässt sich sagen, ob eine App gut oder böse ist.
© Screenshot futurezone
Daten am TU-Server gespeichert
Mit „Andrubis“ wurden bereits eine Million Apps analysiert, wie der seclab-Leiter erzählt. 10.000 davon alleine über die mobile App. „Die Daten von den Apps werden auf unseren Servern gespeichert, aber es wird nicht erhoben, von welchem Gerät diese Daten kommen“, so Platzer. „Das Handy merkt sich allerdings, wann eine Abfrage zu einer speziellen App gestartet worden ist und diese Abfrage kann jederzeit wieder abgerufen werden“, sagt Platzer.
Zwei kleine Nachteile hat „Andrubis“ allerdings: Bei Apps, die größer als acht MB sind, bekommt man die Fehlermeldung „File Limit exceeded“ (File-Größe überschritten). „Andernfalls würde unsere Datenbank explodieren und so groß werden, dass wir nicht mehr handeln könnten“, erklärt Platzer. Es werden zudem nur Apps mit einem gewissen API-Level analysiert. Bei einem futurezone-Kurztest zeigte etwa die ÖBB-App Scotty als einziges ein „verdächtiges Verhalten“ (Warnstufe gelb). „Ganz perfekt ist das automatische Rating nicht“, so Platzer.
„Andrubis“ gibt es übrigens seit 2004 für Windows-Rechner. Da sich das System bewährt hat, wurde es auch für Android-Apps weiterentwickelt. Für vorsichtige Smartphone-User ist „Andrubis“ sicherlich eine interessante Hilfe. Das Produkt ist aber auch für die IT-Sicherheits-Community selbst wichtig, denn es liefert auch Informationen für diejenigen, die sich mit den technischen Details beschäftigen wollen, denn es lassen sich auch die „Berichte“ über die Webseite abrufen.
Kommentare