Zur mobilen Ansicht wechseln »

Andrubis TU-Wien-App zeigt Gefahren unter Android auf.

Die "Andrubis" App der TU Wien durchsucht Smartphone-Apps auf Malware.
Die "Andrubis" App der TU Wien durchsucht Smartphone-Apps auf Malware. - Foto: ROBERT KNESCHKE - FOTOLIA
Seit rund einer Woche gibt es mit „Andrubis“ eine Android-App der TU Wien, mit der man risikolos untersuchen kann, welche Apps gefährlich sein können.

Das IT-Sicherheitsteam der TU Wien (seclab) hat mit „Andrubis“ eine App für Android-Smartphones (erhältlich im Google Play Store) entwickelt, bei der man andere Apps auf Sicherheitsrisiken untersuchen kann. Die kostenlose App wurde von Martina Lindorfer und Alexj Strelzow programmiert, für das Backend-System waren sechs weitere Studierende tätig.

Das Besondere an der App: Die Untersuchung auf Malware findet nicht statisch statt, sondern dynamisch. Der Code von den zu untersuchenden Apps wird an die Server der TU Wien geschickt. „Auf unserem Server lassen wir die App dann laufen, und nach einigen Minuten senden wir eine Meldung darüber zurück, ob diese App irgendwelche bedenklichen Aktionen durchführt“, erklärt Christian Platzer, Leiter des seclab der TU Wien.

Automatische Analyse

Auf einer Linux-Umgebung wird ein komplettes Handy emuliert. In kurzer Zeit wird automatisch möglichst viel Information über die App gesammelt. „Wir können dabei genau überprüfen, mit wem die App zu kommunizieren versucht, und wir sehen uns alle URLs an, die im Code der App vorkommen“, erklärt Platzer. „Manchmal stößt man da auf alte Bekannte – auf Internetserver, die für illegale Aktivitäten bekannt sind.“

Das Rating für die App wird dabei nicht von Menschen, sondern automatisch generiert. Wenn etwa Werbung in der App enthalten ist, oder eine App ungerechtfertigterweise besonders viele Zugriffe (z.B. auf Kamera und Kontakte) haben möchte, dann wird das Rating möglicherweise schlechter ausfallen. Gefüttert wurde das automatisierte Rating-System mit Feeds von Antiviren-Herstellern. Apps, die „ganz sicher böse“ sind, würden bestimmte Code-Teile aufweisen, erklärt Platzer gegenüber der futurezone. Genau diese Codeteile werden dann in Kopien von beliebten Spielen wie Angry Birds platziert, um Daten von Nutzern ohne deren Wissen abzusaugen.

Malware im Hintergrund

„Smartphone-Nutzer bekommen das häufig gar nicht mit, wenn eine App im Hintergrund Daten verschickt und Malware enthält“, erzählt Platzer. Hauptverantwortlich für das Erstellen der Ratings war Lindorfer, die ihre Dissertation in dem Bereich geschrieben hat. Durch diese Ratings lässt sich sagen, ob eine App gut oder böse ist.

andrubis-app.jpg
Foto: Screenshot futurezone
Die Forscher haben sich deshalb auf das mobile Betriebssystem Android spezialisiert, weil es mit Android-Smartphones möglich ist, Apps aus Dritt-Stores zu installieren. Mit iOS ist dies (ohne Jailbreak) nicht möglich. „Wer seine Apps ausschließlich aus dem Google Play Store installiert, ist so gut wie sicher“, sagt Platzer. „Malware wird dort meist in Windeseile entdeckt und fliegt binnen kürzester Zeit raus.“ Wer Apps von Drittanbietern installiere, solle jedoch mit „Andrubis“ vorsichtshalber regelmäßig Checks durchführen, denn hier steige die Gefahr von Malware.

Daten am TU-Server gespeichert

Mit „Andrubis“ wurden bereits eine Million Apps analysiert, wie der seclab-Leiter erzählt. 10.000 davon alleine über die mobile App. „Die Daten von den Apps werden auf unseren Servern gespeichert, aber es wird nicht erhoben, von welchem Gerät diese Daten kommen“, so Platzer. „Das Handy merkt sich allerdings, wann eine Abfrage zu einer speziellen App gestartet worden ist und diese Abfrage kann jederzeit wieder abgerufen werden“, sagt Platzer.

Zwei kleine Nachteile hat „Andrubis“ allerdings: Bei Apps, die größer als acht MB sind, bekommt man die Fehlermeldung „File Limit exceeded“ (File-Größe überschritten). „Andernfalls würde unsere Datenbank explodieren und so groß werden, dass wir nicht mehr handeln könnten“, erklärt Platzer. Es werden zudem nur Apps mit einem gewissen API-Level analysiert. Bei einem futurezone-Kurztest zeigte etwa die ÖBB-App Scotty als einziges ein „verdächtiges Verhalten“ (Warnstufe gelb).  „Ganz perfekt ist das automatische Rating nicht“, so Platzer.

„Andrubis“ gibt es übrigens seit 2004 für Windows-Rechner. Da sich das System bewährt hat, wurde es auch für Android-Apps weiterentwickelt. Für vorsichtige Smartphone-User ist „Andrubis“ sicherlich eine interessante Hilfe. Das Produkt ist aber auch für die IT-Sicherheits-Community selbst wichtig, denn es liefert auch Informationen für diejenigen, die sich mit den technischen Details beschäftigen wollen, denn es lassen sich auch die „Berichte“ über die Webseite abrufen.

(futurezone) Erstellt am 01.10.2014, 14:24

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?