Antivirus

Android ist voll von Malware, Viren und weiteren Gefahren - eine Antivirus-App ist also absolute Pflicht. Untermauert wird diese Aussage / Meinung mit einer Vielzahl bunter Statistiken, die regelmäßig in diversen Studien und Meldungen plakativ Verwendung finden. Falsch sind diese nicht, allerdings furchtbar irreführend und nicht unbedingt realitätsbezogen.

Und doch verbreiten sich solche Statistiken meist wie ein Lauffeuer. Prominente Beispiele hierfür sind die F-Secure Mobile Threat Reports und McAfee Threats Reports. Herausgeber solcher Studien sind meist Antiviren-Software-Hersteller selbst - kann eine unabhängige Berichterstattung wirklich so aussehen? Gerne werden die Studien dann in Artikeln genannt - so auch jüngst beim Spiegel Android ist am meisten von Mobil-Malware bedroht.

So wird also konsequent die Meldung verbreitet, Android sei nicht sicher und habe mit einer anwachsenden Armee von Schadsoftware zu kämpfen. Sind diese Aussagen korrekt oder entsteht hier langsam ein Mythos?

Schadsoftware

Malware sind Programme / Apps, die unerwünschte Funktionen ausführen - Funktionen die der Nutzer eigentlich nicht möchte. Unter dem Überbegriff Schadsoftware werden unterschiedliche Typen zusammengefasst. Dazu gehören beispielsweise:

  • Computerviren sind die älteste Art von Schadsoftware, sie verbreiten sich, indem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Ein teilweise defektes Virus nennt man "Intended Virus". Dieses bewirkt meist nur eine »Erstinfektion« einer Datei, ist jedoch nicht fähig sich weiter zu reproduzieren.

  • Ein Trojanisches Pferd (kurz Trojaner) ist eine Kombination eines (manchmal nur scheinbar) nützlichen Wirtsprogrammes mit einem versteckt arbeitenden, bösartigen Teil, oft Spyware oder eine Backdoor. Ein Trojanisches Pferd verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer.

  • Spyware und Adware forschen den Computer und das Nutzerverhalten aus und senden die Daten an den Hersteller oder andere Quellen, um diese entweder zu verkaufen oder um gezielt Werbung zu platzieren. Diese Form von Malware wird häufig zusammen mit anderer, nützlicher Software installiert, ohne den Anwender zu fragen und bleibt auch häufig nach deren Deinstallation weiter tätig.

Sandbox

Androids Plattform-Sicherheit basiert auf diversen Komponenten. Einer der Schlüsselfunktionen nennt sich Sandboxing. Jeder Android-App wird vom System eine eindeutige ID (UID) zugewiesen und als separater Prozess ausgeführt. Während der Laufzeit befindet sich eine App also in der Sandbox bzw. Sandkasten - ein isolierter Bereich, innerhalb dessen jegliche Aktion keine Auswirkung auf die Umgebung hat. Standardmäßig kann eine App also nicht mit anderen Apps kommunizieren und hat lediglich begrenzten Zugriff auf bestimmte Bereiche des Betriebssystems.

Möchte App A beispielsweise auf Daten von App B zugreifen oder einen Anruf ohne Berechtigung tätigen, so verhindert das System diesen Zugriff. Alles außerhalb der Sandbox ist für Apps ein Bereich auf den sie keinen Zugriff haben. Wie jedes andere Sicherheitsfeature ist auch das Sandbox-Modell nicht unüberwindbar. Allerdings ist es sehr schwierig für Apps aus dieser auszubrechen, da sie dazu den Linux Kernel von Android kompromittierten müssten.

Es bleibt also festzuhalten: Apps können im Prinzip nicht aus der Sandbox ausbrechen und sind daher prinzipiell nicht in der Lage in das System einzubrechen. Wie also kann Schadsoftware auf ein Android Gerät gelangen und dem System Schaden zufügen?

Panikmache!?

Das soeben vorgestellte Sandbox-Modell von Android verhindert gleichzeitig die Funktion von Antivirus-Apps gegen Schadsoftware. Warum? Sie sind ebenfalls Apps die in einer Sandbox ausgeführt werden und somit keinen Zugriff auf Systemdateien haben. Sie können das System also nicht schützen, weil sie darauf auch überhaupt keinen Zugriff haben. Wie funktionieren Antivirus-Apps also bzw. welche Funktion bieten sie dann überhaupt?

Antivirus-Apps auf Android lesen alle installierten Apps auf einem Gerät aus und prüfen sie im Anschluss gegen eine Liste mit korrupten Apps. Sie beinhalten also eine Datenbank in der Apps verzeichnet sind, die "bösartige" Dinge auf dem Smartphone anstellen können. Antivirus-Apps suchen also nicht nach Schädlingen im klassischen Sinne, sondern nach verdächtigen Apps - und diese hat sich der Nutzer selbst installiert!

Im Grunde genommen schützt das Sandboxing-Modell also das Gerät - kann den Nutzer allerdings nicht vor sich selbst schützen. Eine Antivirus-App für Android hat also eine sehr begrenzte Funktionalität. Sie vermitteln sogar eine trügerische Sicherheit - obwohl sie nicht in der Lage sind alle "korrupten" Apps zuverlässig zu erkennen. Was also tun aus Sicht eines Anwenders?

Schadsoftware Beispiele

Findet also eine gezielte Panikmache statt? Und woher kommen eigentlich die Statistiken bzw. auf welcher Grundlage werden diese berechnet? Ein Beispiel:

  • Sophos meldet die Entdeckung des Trojaners "Andr/Stiniter-A" im Spiel "The Roar of the Pharaoh". Die App sei nach der Installation in der Lage sensible Informationen (IMEI, IMSI, Telefon-Nummer, etc.) auszulesen und diese an den Entwickler der App zu schicken. Fakt ist: Die App war niemals offiziell im Google PlayStore zu finden, sondern wurde von diversen Seiten als Download angeboten. Um sich diese Schadsoftware also einzufangen, musste man zunächst eine Webseite aufrufen, die App dort herunterladen und bei der Installation den angeforderten Berechtigungen zustimmen.

Die errechneten Statistiken und Schaubilder in den F-Secure Mobile Threat Reports basieren also auf Apps, die hauptsächlich von dubiosen App Stores und Webseiten bezogen wurden. Diese Schadsoftware existiert also tatsächlich und liefert den Studien die "gewünschten" Zahlen. Ein kritischer Blick verrät allerdings, dass diese Zahlen kaum in die Realität übertragen werden können. Zudem werden auch Hack-Tools wie DroidSheep zu Malware gezählt - was die Statistik weiterhin verfälscht.

Eines wird zusätzlich gerne verschwiegen: Nutzt ein Anwender ausschließlich das Angebot des Google PlayStores ist die Chance das Gerät mit Malware zu infizieren äußert gering.

Was tut Google?

Google ist sich der gegenwärtigen Situation bzw. Bedrohungslage durchaus bewusst. Android ist aufgrund seines hohen Verbreitungsgrades nunmal Angriffsziel Nummer 1 bei mobilen Betriebssystemen. Entsprechende Gegenmaßnahmen sollen für Sicherheit sorgen:

  • Bevor eine App in den Google PlayStore gelangt wird sie durch Bouncer automatisch nach Schadsoftware geprüft. Ein Dienst, der jegliche Apps vor der Veröffentlichung prüft und in einer simulierten Umgebung auf das Verhalten untersucht. Sozusagen der erste Schutzwall gegen Schadsoftware im PlayStore. Dennoch gelingt es nicht immer Schadsoftware eindeutig als solche zu identifizieren.

  • Google ist in der Lage Apps remote zu löschen. Wird eine App also irgendwann als Schadsoftware erkannt, hat Google die Möglichkeit diese vom Gerät zu entfernen.

  • Seit Android 4.2 werden nicht nur Apps aus dem PlayStore auf Schadsoftware geprüft, sondern auch Apps die von einer beliebigen Quelle bezogen werden - also Sideloading ("Installation von anderen Apps aus anderen Quellen als dem Play Store zulassen").

  • Ebenfalls seit Android 4.2 werden sogenannte Premium SMS-Nachrichten blockiert. Ursprünglich dient Premium SMS der Abrechnung von Dienstleistungen im Internet oder den Medien. Allerdings wird der Dienst auch genutzt, um versteckt Kosten zu verursachen und Malware-Entwickler zu bereichern.

  • Das bereits beschriebene Sandbox-Modell schützt das System vor böswilligen Apps. Ein ähnliches Prinzip hat Google mit den Berechtigungen eingeführt. In ihrer Grundidee sollen Berechtigungen auf Android gewährleisten, dass Apps ohne explizite Berechtigungen keinerlei Aktionen auf dem Gerät ausführen dürfen. Also beispielsweise SMS auslesen oder die aktuelle GPS-Position bestimmen. Gerade aber diese Schutzmaßnahme halte ich für bedenklich. Warum? Das haben wir schon ausführlich im Beitrag Android Berechtigungen - Alles oder nichts erklärt.

Google versucht den Anwender also zu schützen, aber wie immer gilt hier auch eines: Es schützt den Anwender nicht vor sich selbst!

Wie kann ich Malware vermeiden?

Android ist von seiner Konzeption ein sehr sicheres Betriebssystem - erfordert dafür allerdings auch das Mitdenken seiner Anwender. Wer sich an folgende Grundregeln hält, reduziert die Wahrscheinlichkeit sich Malware einzufangen fast gegen null:

  • Die Bezugsquelle für Apps sollte ausschließlich der Google PlayStore darstellen. Im Grunde genommen kann jeder einen Store eröffnen und dort seine Apps anbieten / vermarkten. Dabei ist in vielen Fällen ungeklärt wer hinter dem Angebot steckt oder welche Prüfmethoden verwendet werden, bevor eine App im Store erscheint.

  • Downloads von Webseiten sind tabu. Es gilt nach wie vor: Als Bezugsquelle für Apps ausschließlich den PlayStore verwenden.

  • Vor jeder Installation sollten die Berechtigungen geprüft werden - denn auch Google kann einen Store ohne Malware nicht gewährleisten.

  • Apps die zu viele Berechtigungen bei der Installation einfordern, sollten kritisch hinterfragt werden. Muss eine Taschenlampen-App wirklich meinen aktuelle GPS-Standort wissen und benötigt Netzwerkzugriff? Dazu ist es notwendig die Berechtigungen zu verstehen.

  • Dennoch bleiben oft Zweifel, die auch nicht immer ausgeräumt werden können. Viele Entwickler haben die Problematik erkannt und legen daher offen, weshalb ihre App Berechtigung XY benötigt.

  • Deaktivieren der Funktion "Installation von anderen Apps aus anderen Quellen als dem Play Store zulassen".

Nochmal: Malware für Android existiert tatsächlich - nur nicht in der Relevanz und Häufigkeit wie es uns die Antiviren-Hersteller gerne glauben machen möchten. Wer nicht alle möglichen Apps aus dubiosen Quellen installiert und zumindest kurz über die angeforderten Berechtigungen nachdenkt, der ist im Prinzip auf der sicheren Seite. Mit einer gesunden Portion Menschenverstand und dem Sandbox-Modell hat Malware auf Android nahezu keine Chance - und das sogar vollkommen kostenlos.

Fazit

Sind Antivirus-Apps nun sinnvoll oder nutzlos? Fakt ist: Malware für Android existiert, allerdings nicht in der Relevanz und Ausmaß wie oftmals vermittelt. Hinter Android steckt nunmal ein wachsender Markt, bei dem jeder ein Stück vom Kuchen abbekommen möchte - auch Antiviren-Hersteller. Dem Anwender wird also suggeriert, dass er ohne Antivirus-Apps den bösen Mächten des Internets hilflos ausgeliefert sei.

Neben dem Malware-Schutz werben Antivirus-Apps mit weiteren Funktionen - das war allerdings nicht Fokus des Beitrags. Wer weiterhin mit dem Gedanken spielt sich eine Antivirus-App auf seinem Smartphone zu installieren, dem sei der AV-Test vom März 2013 empfohlen.

Antivirus-Apps bieten bestenfalls einen zusätzlichen Schutz auf den man sich als Anwender allerdings nicht blind verlassen sollte. Viel wichtiger ist der gesunde Menschenverstand und die Einhaltung einfacher Regeln:

  • Bezugsquelle für Apps ausschließlich der Google PlayStore.

  • Vor einer Installation die Berechtigungen prüfen. Sind diese einmal erteilt, dann kann die App auch genau das durchführen. Beispielsweise den GPS-Standort auslesen.