Eigentlich ist die Idee genial. Nicht mehr der Nutzer, sondern jede einzelne Anwendung hat spezifische Berechtigungen, was den Zugriff auf Informationen und Funktionen anbelangt. Was bei Android aber als "Trennwand" zwischen den einzelnen Apps gedacht war, um die Sicherheit zu erhöhen, erreicht das selbstgesteckte Ziel nur unzureichend. Die Wände sind einfach zu durchlässig.
Vorsicht Falle: Eine Android-App hat nur begrenzten Zugang zu Systemressourcen. Sie benötigt explizit eine Berechtigung, um auf Kamera-, Bluetooth- und Telefoniefunktionen oder Standortdaten à la GPS zuzugreifen, Netzwerk- und Datenverbindungen aufzubauen oder SMS- und MMAS-Dienste zu nutzen. Diese Berechtigungen können aber mit den kriminellen Taktiken Schmarotzen, Schnüffeln und Trittbrettfahren umgangen werden.
1. Schmarotzer
Verfügt eine App nicht über die Berechtigung, um zum Beispiel eine Verbindung zum Internet aufzubauen und um Daten an eine Webadresse zu senden, dann kann sie eine andere App, die diese Berechtigung besitzt, zu diesem Zweck missbrauchen. Diese Möglichkeit ist aus der Sicht der Cyberkriminellen sehr reizvoll, weil sich dadurch die kriminellen Absichten perfekt tarnen lassen. Wer denkt schon Böses, wenn der Browser sich mit dem Internet verbinden will? Bösartige Apps brauchen in der Tat nichts weiter zu tun, als die Anfrage "Zeige mir Website X" zu starten, und Android sucht nach der am besten geeigneten App, mit der sich diese Anfrage ausführen lässt. Das Ergebnis: Auch ohne Zutun des Anwenders öffnet sich der Browser und es wird eine Verbindung zu einer kriminellen Website aufgebaut.
2. Schnüffler
Protokolle sind eine feine Sache, speziell für App-Entwickler, die ihre neuesten Kreationen von den letzten Fehlern befreien wollen. Doch leider zeichnet Android auch Informationen auf, die für Cyberkriminelle von höchstem Interesse sind. So merkt die Android-Protokollierung sich in bestimmten Versionen zum Beispiel die Webadressen, die ein Anwender öffnet. Werden diese Adressen abgegriffen, erfahren die Cyberkriminellen, welche Seiten ein Nutzer bevorzugt, und können ihn auf eine gefälschte Version davon locken. Auch GPS-Daten lassen sich mitschneiden, wenn der vom System angebotene GPS-Dienst genutzt wird. Cyberkriminelle können dadurch im schlimmsten Fall die Bewegungen des Besitzers des Android-Geräts nachverfolgen.
3. Trittbrettfahrer
Zahlreiche App-Komponenten benötigen keine eigenen Berechtigungen, und die wenigsten Entwickler achten darauf, weil sie davon ausgehen, dass diese Komponenten für andere Apps nicht sichtbar sind. Eine bösartige App könnte aber genau danach suchen und sie dann aufrufen. Handelt es sich dabei um Komponenten von System-Apps, kann es besonders gefährlich werden. Denn diese Apps verfügen in der Regel über sehr umfangreiche Rechte und können sensible Informationen mitlesen, andere Apps installieren oder sämtliche Daten auf dem Gerät löschen.
"Schmarotzen, schnüffeln, trittbrettfahren - das sind typische Verhaltensweisen der Cyberkriminellen. Und je mehr sie miteinander kombiniert werden, umso gefährlicher wird es. Leider ist das Design der Android-Berechtigungen dafür anfälliger, als ursprünglich gedacht. Es ist nur eine Frage der Zeit, bis diese Angriffsmöglichkeiten in großem Stil von den digitalen Gangstern und Spionen genutzt werden", so Udo Schneider, Solution Architect EMEA bei Trend Micro.
Tipps für Android-Nutzer
Anwender, die befürchten, dass ihr Android-Gerät durch bösartige mobile Apps infiziert sei, können mit dem kostenlosen App-Scanner von Trend Micro die Schädlinge entdecken und entfernen: 'HouseCall Mobile' ist als kostenloser Bestandteil Teil der Sicherheitslösung "Trend Micro Mobile Security for Android - Personal Edition" erhältlich.
Die Experten von Trend Micro haben fünf einfache Tipps zusammengestellt, wie Android-Nutzer ihr Smartphone vor bösartigen Apps schützen können:
Weitere Informationen
Mehr Details zu den Möglichkeiten, Android-Berechtigungen zu umgehen, finden sich im deutschen Trend Micro-Blog.
Vorsicht Falle: Eine Android-App hat nur begrenzten Zugang zu Systemressourcen. Sie benötigt explizit eine Berechtigung, um auf Kamera-, Bluetooth- und Telefoniefunktionen oder Standortdaten à la GPS zuzugreifen, Netzwerk- und Datenverbindungen aufzubauen oder SMS- und MMAS-Dienste zu nutzen. Diese Berechtigungen können aber mit den kriminellen Taktiken Schmarotzen, Schnüffeln und Trittbrettfahren umgangen werden.
1. Schmarotzer
Verfügt eine App nicht über die Berechtigung, um zum Beispiel eine Verbindung zum Internet aufzubauen und um Daten an eine Webadresse zu senden, dann kann sie eine andere App, die diese Berechtigung besitzt, zu diesem Zweck missbrauchen. Diese Möglichkeit ist aus der Sicht der Cyberkriminellen sehr reizvoll, weil sich dadurch die kriminellen Absichten perfekt tarnen lassen. Wer denkt schon Böses, wenn der Browser sich mit dem Internet verbinden will? Bösartige Apps brauchen in der Tat nichts weiter zu tun, als die Anfrage "Zeige mir Website X" zu starten, und Android sucht nach der am besten geeigneten App, mit der sich diese Anfrage ausführen lässt. Das Ergebnis: Auch ohne Zutun des Anwenders öffnet sich der Browser und es wird eine Verbindung zu einer kriminellen Website aufgebaut.
2. Schnüffler
Protokolle sind eine feine Sache, speziell für App-Entwickler, die ihre neuesten Kreationen von den letzten Fehlern befreien wollen. Doch leider zeichnet Android auch Informationen auf, die für Cyberkriminelle von höchstem Interesse sind. So merkt die Android-Protokollierung sich in bestimmten Versionen zum Beispiel die Webadressen, die ein Anwender öffnet. Werden diese Adressen abgegriffen, erfahren die Cyberkriminellen, welche Seiten ein Nutzer bevorzugt, und können ihn auf eine gefälschte Version davon locken. Auch GPS-Daten lassen sich mitschneiden, wenn der vom System angebotene GPS-Dienst genutzt wird. Cyberkriminelle können dadurch im schlimmsten Fall die Bewegungen des Besitzers des Android-Geräts nachverfolgen.
3. Trittbrettfahrer
Zahlreiche App-Komponenten benötigen keine eigenen Berechtigungen, und die wenigsten Entwickler achten darauf, weil sie davon ausgehen, dass diese Komponenten für andere Apps nicht sichtbar sind. Eine bösartige App könnte aber genau danach suchen und sie dann aufrufen. Handelt es sich dabei um Komponenten von System-Apps, kann es besonders gefährlich werden. Denn diese Apps verfügen in der Regel über sehr umfangreiche Rechte und können sensible Informationen mitlesen, andere Apps installieren oder sämtliche Daten auf dem Gerät löschen.
"Schmarotzen, schnüffeln, trittbrettfahren - das sind typische Verhaltensweisen der Cyberkriminellen. Und je mehr sie miteinander kombiniert werden, umso gefährlicher wird es. Leider ist das Design der Android-Berechtigungen dafür anfälliger, als ursprünglich gedacht. Es ist nur eine Frage der Zeit, bis diese Angriffsmöglichkeiten in großem Stil von den digitalen Gangstern und Spionen genutzt werden", so Udo Schneider, Solution Architect EMEA bei Trend Micro.
Tipps für Android-Nutzer
Anwender, die befürchten, dass ihr Android-Gerät durch bösartige mobile Apps infiziert sei, können mit dem kostenlosen App-Scanner von Trend Micro die Schädlinge entdecken und entfernen: 'HouseCall Mobile' ist als kostenloser Bestandteil Teil der Sicherheitslösung "Trend Micro Mobile Security for Android - Personal Edition" erhältlich.
Die Experten von Trend Micro haben fünf einfache Tipps zusammengestellt, wie Android-Nutzer ihr Smartphone vor bösartigen Apps schützen können:
Weitere Informationen
Mehr Details zu den Möglichkeiten, Android-Berechtigungen zu umgehen, finden sich im deutschen Trend Micro-Blog.
