Sicherheitsaspekte Android

Apps, die Daten ausspionieren und verschicken, sowie Kosten unerlaubt/unbemerkt verursachen.

Hi,

Der Anwender.

Herzliche Grüße

Carsten

Ich hab erst einen Blog dazu geschrieben:
https://www.nextpit.de/de/android/blog/396210/userblog-Offen-bedeutet-nicht-fuer-alle-zugaenglich-Android-muss-sicher-werden

Das größte Risiko ist meiner Ansicht die fehlenden Systemupdates. Der schlecht gepflegte Android Market ist ebenfalls ein großes Problem, wenn auch nicht so schwerwiegend wie die fehlenden Systemupdates.

Im Geschäftsbereich kann aber meiner Meinung Android trotzdem seine Vorteile ausspielen. Das Unternehmen kann selbst sich um Softwareupdates kümmern (oder auch eine Firma beauftragen) und auch einen eigenen Market installieren, bei dem das Unternehmen die Apps festlegt. Die Installation von fremden Quellen könnte man verbieten.
Dann wäre Android sehr sicher.

Von der iX gab es dazu letztens ein Heft. Suche mal bei heise.de nach den iX Artikeln. Die kannst du dann nach Kauf als PDF downloaden.

Ich schliesse mich den fehlenden Systemupdates an.
Die Rechteverwaltung von Android ist zwar durchdacht, aber lässt sich nicht ausreichend beeinflussen.
Mir fehlen die Einstellungen wie damals bei den Java Progrämmchen, da konnte man zB Internetzugriff pro App ein oder ausschalten. Zusätzlich gab es eine Einstellung, welche eine Bestätigung vom Benutzer einforderte, wenn die Funktion tatsächlich benötigt wurde.
Funktionen, welche nicht benötigt werden, sollten grundsätzlich deaktivierbar sein.
Auch etwas unsicher finde ich die Muster oder vierstellige PINs. Bei Smartphones, welchee normalerweise am Körper getragen werden, ist das weniger tragisch. An grösseren Geräten finde ich einen Fingerabdruckscanner toll. Die entsperrung geht meist etwas schneller und die Gefahr des über die Schulter Schauens ist gebannt.

Hallo Erik,

herzlich Willkommen im AndroidPIT-Forum.

Das Du hier keine fertigen Ausarbeitungen für Deine Arbeit erwarten kannst, war Dir sicher vorher klar. Vll. kann man aber einzelne Hinweise als solche Verstehen und dann seine eigene Recherche im Netz in dieser Richtung vertiefen.
Ich persönlich halte auch den Nutzer als das größte Sicherheitsrisiko. Wer sich genau überlegt wo man seine Software downloaded, sich die Permissions anschaut und gegebenfalls ein anderes Programm bevorzugt, sensible Daten ohne einen weiteren Schutz (als die nackte PIN) auf dem Smartphone speichert, das Gerät überall offen liegen lässt....die Liste läßt sich fortsetzen...sollte schon relativ sicher sein nicht ausgespäht zu werden.

Woher soll aber der Anwender wissen, ob jetzt die App berechtigt oder unberechtigt Verbindung mit dem Internet aufnimmt?
Ich glaube sehr wohl, dass auch dieser Punkt sehr gut durchdacht wurde, denn ich kann mir nicht vorstellen, dass eine solche Einstellung mehr Sicherheit gibt. Eine Schadsoftware wird schon einen Grund finden, warum der Anwender das Internet freigeben soll, eine normale App muss sich aber dann mit Support und schlechten Bewertungen rumschlagen, weil die App nicht mehr richtig funktioniert.
Außerdem hat man bei Firewalls gesehen, dass zu häufiges Fragen eher destruktiv für die Sicherheit ist, da so der Anwender nur genervt wird und nicht mehr richtig nachdenkt, was er da bestätigt.


Ich schon, viele andere hier im Forum sehen das nicht als Gefahr, da Apps in ihrer eigenen Sandbox laufen. Ich sehe dagegen ein größeres Feld für Sicherheitslücken. Auch der Grund warum ich im meinem Blogeintrag schrieb, dass Google den Quellcode jeder App automatisch analysieren und selbst kompilieren sollte.


Gar nichts. Hinter Android steckt eine große Firma mit den besten Programmierern die es auf dem Markt gibt. Ich bezweifle dass es ein Hobby-Programmierer besser machen kann und auch schneller reagieren kann.
Allerdings sehe ich gerade für Unternehmen kleine Veränderungen als Vorteil, wie zB ein eigener Markt oder das Verbieten von fremder Software.

Das größte Risiko ist der Benutzer selbst. Mit etwas Verstand und Kritik ist das Risiko gleich Null.

Mit der Antwort besteht erst!

Ich würde zuerst die Architektur anschauen. Hierzu hilft Dir vielleicht der Artikel in c't 4/2011 Seite 122 ff. Daraus würde ich Schwachstellen dieser Architektur aufzeigen. Dabei helfen bereits geschlossene Sicherheitslücken, die man ergooglen kann.

In Hinsicht auf die aktuelle Lücke in iOS (trotz Verschlüsselung einiger Teile des Betriebssystems, liegen weite Systembereiche durch wenig Aufwand offen) und ein Vergleich/eine Übertragung auf Android können das Bild vervollständigen (ähnliches Konzept fehlt; ist das überhaupt nötig?).

Hieraus wiederum würde ich bewerten, was verzögerte oder fehlende Updates seitens der Hersteller bedeuten und wie Anpassungen durch die Hersteller neue Lücken reißen können.

Anschließend würde ich mir den Market vorknöpfen. Die Rechtevergabe und die häufig mit Werbung begründete Internetverbindung, die jedoch auch "nach Hause telefonieren" ermöglicht. Was könnte und was wurde bereits ausgespäht?

Die vielen Apps für soziale Netzwerke! Welchen Einfluß haben sie auf die Sicherheit? Wie werden Sicherheitskonzepte damit außer Kraft gesetzt oder umgangen?
Online-Banking-Apps? Sind sie wirklich sicher? Verschlüsselung? Cache? Unterstützung moderner TAN-Verfahen?
Risiken durch Spiele mit Online-Verbindung?

Da immer wieder der Anwender genannt wird: Kann das Lieschen Müller überhaupt erkennen. Sie will doch nur telefonieren und überall ihre Mails lesen. Nebenbei hat sie festgestellt, dass noch viel mehr geht und probiert jetzt alles aus. Wie kann sie feststellen, wem sie trauen kann und wie zuverlässig sind diese Kriterien zu "trau, schau, wem"?

Erst danach kann man eine Einschätzung geben, was man für das größte Sicherheitsproblem hält.

Wie bitte?

Datensicherheit, Usersupport und Fernadministration sind das wichtigste für Firmen. Und hier bietet Android eben im gegensatz zu Blackberry recht wenig.