“48 Prozent der Android-Apps haben Sicherheitslücken”

Googles mobiles Betriebssystem Android versucht, eine möglichst offene Plattform zu sein. Durch die daraus folgende starke Fragmentierung, das riesige Angebot an schwer verifizierbaren und qualitativ uneinheitlichen Apps sowie die Möglichkeit als Nutzer die Software zu modifizieren, ergeben sich große Herausforderungen für die Sicherheit des Betriebssystems. Im Festsaal der TU Wien findet derzeit das Android Security Symposium statt, bei dem internationale Experten auf dem Gebiet der mobilen Sicherheit Einblicke in ihre Arbeit geben. Unter anderem ist auch Nick Kralevich, zuständig für Android Plattform Security bei Google, zur vom Josef Ressel Zentrum für “Secure Mobile Environments” am Campus Hagenberg der FH Oberösterreich veranstalteten Event angereist. Das Symposium dauert noch bis Freitag.

“Malware ist bei Android nicht das große Problem. Apps, die Daten abzweigen und Sicherheitslücken in der Software sind die Bedrohungen. Malware, die auf PCs noch für viel Ärger gesorgt hat, ist durch die App-Stores großteils eliminiert worden”, sagt Andrew Hoog von NowSecure bei der Eröffnung des Symposiums am Mittwoch in Wien. Laut Daten von NowSecure haben 48 Prozent der Android-Apps zumindest eine schwerwiegende Sicherheits- oder Privatsphären-Lücke. Malware wurde bei den 600.000 von der Firma untersuchten Apps hingegen nur in 0,18 Prozent der Fälle gefunden.

Angriff der Werbenetzwerke

Zudem hat die durch Spezialsoftware von Hoogs Firma durchgeführte Analyse gezeigt, dass die Hälfte der Apps Daten an Werbenetzwerke weitersendet, in manchen Fällen ab bis zu 16 verschiedene. Diese Verbindungen können von Angreifern leicht ausgenutzt werden, um die Kontrolle über eine große Zahl von Android-Geräten zu erlagen.

“Der Maßstab ist unglaublich. Die Werbenetzwerke laden oft ungeschützte ZIP-Dateien auf Geräte, um Werbung anzeigen zu können. Schaltet sich hier ein Hacker dazwischen, kann er Schadcode auf einer enormen Zahl von Geräten ausführen”, sagt Hoog. Allein ein kleineres koreanisches Werbenetzwerk spielt bis zu acht Milliarden Werbeeinschaltungen im Monat aus. Hoogs Unternehmen versucht durch die automatisierte Analyse von Apps Informationen über solche Sicherheitslecks zu sammeln. Firmen können dann dafür bezahlen, dass ihre Software auf bekannte Schwachstellen geprüft wird. Für Forscher soll die Software von NowSecure künftig gratis verwendbar sein. Der Ansatz, die Sicherheit von Android mit Datenzentren, die das Software-Ökosystem praktisch in Echtzeit überwachen, zu verbessern, ist laut Hoog eine zukunftsträchtige Strategie. “Eine durchschnittliche Android-App hat 20 verschiedene Berechtigungen auf einem Gerät. Nur 13 von 118 Apps mit über 100.000 Nutzern brauchen keine potenziell gefährlichen Berechtigungen”, beschreibt Hoog ein weiteres Sicherheitsrisiko.

Googles Konzept

Bei Android selbst ist man sich der Herausforderung bewusst. “Es gibt Millionen Zeilen Code im quelloffenen Android-System, tausende verschiedene Geräte und hunderte Hersteller mit eigenen Sicherheitslösungen”, sagt Android-Plattform-Sicherheitschef Nick Kralevich von Google. In diesem komplexen Ökosystem ist es immens schwierig, für Sicherheit zu sorgen. “Es geht auch immer um einen Kompromiss zwischen Sicherheit und Funktionalität. Das ist ein laufender Prozess und wir finden nicht immer auf Anhieb die richtige Balance. Die Android-Philosophie ist es, für unsichtbare Sicherheit zu sorgen, so dass die Nutzer nicht gestresst werden”, so Kralevich. Das soll erreicht werden, indem es schon bevor Code auf einem Gerät ausgeführt wird mehrere Hürden für Angreifer gibt, an vorderster Front etwa den App-Store.

“Prävention, Erkennung, Minimierung von Schaden und schnelle Reaktion sind die Grundsäulen des Android-Sicherheitskonzepts”, sagt der Android-Sicherheitsboss. Eine der wichtigsten Maßnahmen ist das sogenannte Sandboxing, bei dem Applikationen in einer eigenen “Sandkiste” ausgeführt werden und keinen Zugriff auf das restliche System bekommen. Hier hat sich in den vergangenen Jahren einiges getan. Seit Android 4.1 können etwa mehrere Nutzer ein Gerät verwenden, ohne sich mit ihren Sandkisten in die Quere zu kommen. Seit Android 5.0 sind auch die System- und Root-Bereiche von Andorid in kleine Teile aufgespalten. Den allmächtigen Root-Nutzer gibt es nicht mehr. Stattdessen wird mit Hilfe von SELinux jedem Prozess nur das notwendigste an Berechtigungen erteilt.

Erschwerte Updates

Diese starken Standards sind ebenfalls ein Mittel, um die Sicherheit auf den Geräten zu gewährleisten, genau wie das Erhöhen der Robustheit des Betriebssystems. “Wir können niemals jeden Fehler finden, geschweige denn reparieren. Deshalb brauchen wir ein System, dessen Integrität auch bei Fehleren gewahrt bleibt”, sagt Kralevich. So sollen künftig möglichst nur noch Programmiersprachen im Android-Ökosystem verwendet werden, die als sicher eingestuft werden. Von C/C++ will Android längerfristig weg. Was als Alternative in Frage kommt, wird derzeit gerade evaluiert.

Neue gefahren versucht Google zu antizipieren, indem es Foren beobachtet, Forschung begleitet und Geldpreise für die Entdeckung von Bugs bietet. Werden neue Bedrohungen bekannt, will Google möglichst schnell mit Updates reagieren. Bei den Nexus-Geräten klappt das ganz gut, durch monatliche Sicherheits-Updates. Für das Problem, dass es bei allen Geräten, die kein Stock-Android installiert haben, nicht funktioniert mit schnellen Updates, hat Kralevich auch keine schnelle Lösung parat.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.