Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

9 Min Lesezeit 45 Kommentare

Schutz vor Android-Malware: Diese Gegenmittel helfen wirklich

Alle paar Monate gibt es eine Sicherheitslücke bei Android, die angeblich hunderte Millionen Android-Smartphones betreffe. In den vergangenen Jahren zum Beispiel Quadrooter und Stagefright. Beide Sicherheitslücken unterscheiden sich aber erheblich. Wie sicher ist Android mit seinen Hausmitteln und was hilft wirklich gegen die Gefahren aus dem Internet?

Bei Quadrooter handelt es sich um mehrere Sicherheitslücken in Qualcomm-Treibern, die im Sommerloch 2016 für Furore sorgten. 900 Millionen betroffene Android-Geräte. Gefahr! Gefahr! So stellten es zumindest die Entdecker dar. Um die Sicherheitslücke Quadrooter auszunutzen, muss es dem Angreifer jedoch gelingen, auf einem Smartphone eine entsprechend konstruierte App zu installieren und auszuführen.

Ganz anders gelagert ist die Schwachstelle Stagefright. Diese war in den Funktionen zur Verarbeitung von Mediendateien bzw. -streams versteckt. Das Problem: Selbst ein Video einer MMS wurde durch diese Routinen geschleift. Ein Angreifer kann also dem User eine Datei schicken und der gefährliche Code wird ausgeführt. Ab Android 4.0 ist es aufgrund systeminterner Maßnahmen schwieriger, die Sicherheitslücke erfolgreich auszunutzen, aber es ist nicht unmöglich.

Der Unterschied zwischen den beiden Sicherheitslücken ist offensichtlich: Quadrooter erfordert einige Schritte seitens des Users, während Stagefright aus der Ferne und ohne User-Interaktion auszunutzen ist.

Welche Bordmittel gibt es gegen Sicherheitslücken à la Stagefright, Quadrooter & Co.?

Android besitzt mehrere Wege, um die Sicherheit der User zu gewährleisten. Die drei wichtigsten Maßnahmen stellen wir Euch hier im Detail vor.

Gegenmittel Eins: Installation unbekannter Apps verhindern

In den Systemeinstellungen von Android gibt es die Einstellung um Installationen von Apps unbekannter Herkunft zuzulassen. Im Auslieferungszustand ist diese Option deaktiviert, sodass Ihr nur Apps aus dem Play Store installieren könnt. Manche Hersteller haben einen eigenen App-Store vorinstalliert, beispielsweise Samsung mit den Galaxy Apps. Für diese gilt die Beschränkung der Option nicht.

Diese Option schützt also mit einer simplen Maßnahme gegen Malware, die über einen nicht zuverlässigen App-Store oder schlichte Internetseiten verteilt werden - konkret also gegen den Hauptangriffsvektor von Malware. Denn aus dem Play Store fliegen solche Apps sehr schnell raus; und Nachrichten über Malware im Play Store sind selten geworden.

Unbekannte Quellen müssen aber für App-Stores von Amazon oder auch für Alternativen wie F-Droid aktiviert sein. Was also tun?

Gegenmittel Zwei: Googles Virenscanner: Apps überprüfen

Google hat eine zweite Schutzlinie gezogen, die keine Kompatibilitätsprobleme hat, dafür aber die Sicherheit vor schadhaften Apps bietet: Apps überprüfen.

Ab Android 4.2 ist diese Einstellung vorhanden und mittlerweile Bestandteil der Google-Play-Services. Standardmäßig ist diese auch aktiviert und das solltet Ihr auch so belassen. Mit dieser Einstellung erlaubt Ihr, dass Apps vor der Installation auf mögliche Malware-Funktionen überprüft werden. Ist dies der Fall, verweigert Android die Installation. So zumindest die Theorie.

Quadrooter hat damit übrigens keine Chance. Google bestätigte gegenüber AndroidCentral schon wenige Tage nach der Entdeckung, dass eine Malware, die auf Quadrooter setzt, nicht installiert werden könne - sofern die entsprechende Einstellung gesetzt ist. Androids Sicherheitschef Adrian Ludwig wiederum äußerte sich ganz ähnlich zur Malware Gooligan, einer im Dezember 2016 bekannt gewordenen Malware, die Google-Konten angreift. Was steckt hinter diesen Entwarnungen?

Im Android Security Report 2015 (Stand April 2016) ist zu lesen, dass mit dieser Technik die Bedrohungslage für Android-User signifikant reduziert werden konnte. Vor allem Malware-Apps konnte Google mit dem Feature den Nährboden entziehen.

Und diese Maßnahme ist seit den ersten Versionen mehrfach verbessert worden. Grundsätzlich funktioniert die App-Überprüfung, indem der Fingerabdruck (Hashwert) einer APK berechnet wird. Dieser wird mit Googles Datenbank abgeglichen, die mögliche Gefahren enthält. Google scannt nicht nur Apps im Play Store, sondern auch APKs, die über das Web zugänglich sind. Dieser simple Weg ist schon recht effektiv, denn rund 90 Prozent aller außerhalb des Play Stores installierten Apps sind Google bereits bekannt und auf mögliche Sicherheitsprobleme gescannt worden.

Zusätzlich ist es Google möglich, aus Apps einzelne Features zu extrahieren und diese einem ganz ähnlichem Verfahren zu unterziehen. Damit kann Google gefährliche Features erkennen und den User bei Bedarf warnen und sogar die Installation einer solchen App verhindern. Inzwischen scannt Google sogar im Laufe des Betriebs die installierten Apps und kann somit auch vor nachträglichen Manipulationen an einer installierten App warnen. Im Extremfall gibt es sogar die Möglichkeit, Apps vom Smartphone zu entfernen, auch dann, wenn sich diese als Geräteadministrator eingenistet haben.

Vor den allerneuesten Malware-Attacken kann Google mit der App-Überprüfung allerdings nicht schützen. Aber spätestens nach wenigen Stunden, höchstens Tagen dürften beinahe alle Android-User vor der Installation von Malware-Apps geschützt sein - wie im Fall Quadrooter. Im Play Store kommen übrigens ähnliche Maßnahmen zum Einsatz. Außerdem analysiert Google das Verhalten der dort registrierten Entwickler und kann unlautere Absichten von App-Entwicklern unterbinden.

Von diesen Informationen beruhigt, wagte ich die Probe aufs Exempel. Warum nicht einmal versuchen, diesen Schutz zu prüfen? Also aktiviere ich die unbekannten Quellen, installiere (als Gegenprobe) mehrere Virenscanner aus dem Play Store und begebe ich mich (recht einfallslos) auf die Suche nach Super Mario Run für Android - aktuelle Downloads sollen ja voll mit Malware sein. Das Resultat? Die Installation klappt problemlos, mehrere Virenscanner warnen vor einer Bedrohung bzw. Gefahr. Beim genauen Hinsehen habe ich mir offenbar eine Adware eingefangen, die "unerwünschtes Verhalten" an den Tag legen kann. Offenbar handelt es sich aber nicht um eine ausgefuchste Malware mit Gefahren für meine Daten oder Handyrechnung. Eine Warnung seitens Google erhalte ich nicht.

Mein kleines Experiment zeigt: Googles App-Überprüfung lässt durchaus Apps durch. Unklar ist, ob es sich hierbei um eine bewusste Entscheidung handelt: Denkbar ist, dass Google bestimmte Formen von Adware nicht als Gefahr einstuft, sondern konkrete, gefährliche Funktionen in Apps finden will, bevor der Alarm losgeht.

Gegenmittel Drei: Aktuelle Sicherheitspatches

Doch Android basiert auf Linux und so gibt es noch eine dritte Schutzschicht für User: Denn der sicherste Schutz ist immer noch ein aktuelles und vollständig gepatchtes Betriebssystem.

Die tatsächlich extrem gefährliche Sicherheitslücke Stagefright hat bei Google zu einem Umdenken geführt: Seither gibt es die monatlichen Sicherheitsupdates für Android. Inzwischen sind 18 dieser Patchsammlungen erschienen. Zum Verständnis muss man wissen, dass Google diese Patches nicht nur für die aktuellste Android-Version bereitstellt, sondern die Patches (soweit erforderlich) auch für ältere Android-Versionen bis Android 4.4 veröffentlicht.

Daher kann es also sein, dass ein Smartphone mit Android Marshmallow auf einem sichereren Stand ist als eines mit Nougat. Beim Moto Z mit Android Nougat ist beispielsweise der Stand der Sicherheitspatches November 2016, das Galaxy S7 hat mit seiner aktuellen Marshmallow-Firmware den Stand Dezember 2016. Relevant für die Einschätzung der Sicherheit ist der Stand der Sicherheitspatches.

Allgemeines Gegenmittel: Eigenverantwortung ist unersetzlich

Eine vielleicht vierte Schutzmauer ist natürlich der User selbst: Wer all die obigen Sicherheitsmaßnahmen ausschaltet bzw. ignoriert, den APK-Download aus einer SMS in gebrochenem Deutsch installiert und dann wie wild Codes an anonyme Nummern verschickt, der hat gegen alle Sicherheitsregeln verstoßen, die man sich nur ausdenken kann.

Und meine Jagd nach der APK für Super Mario Run? Das Spiel ist noch nicht erschienen, also sollte ich es auch nicht installieren, selbst wenn es mir über WhatsApp oder in einem Werbebanner angepriesen wird. 

Es heißt also, vorsichtig zu agieren und nicht jede angebliche Warnung per E-Mail, SMS oder WhatsApp ernst zu nehmen: Kopf einschalten und verantwortlich handeln ist immer eine gute Idee (nicht nur bei der Smartphone-Sicherheit).

Braucht es Sicherheits-Apps für Android?

Mein kleines, oben skizziertes Experiment war eindeutig. Mehrere von mir installierte Virenscanner warnen mich vor der von mir verwendeten Adware. In Googles Sicherheitsbericht ist mehrfach von potenziell gefährlichen Anwendungen die Rede, die Antiviren-Hersteller sprechen hingegen von potenziell unerwünschten Apps, was eine geringere Schwelle ist und so mehr Apps betreffen kann.

Vor dieser Adware wäre ich übrigens geschützt geblieben, hätte ich nicht die unbekannten Quellen aktiviert. Ein weiterer bedenkenswerter Aspekt ist, dass es natürlich noch weitere Gefahren für Android-User gibt. Beim Blick auf die Beschreibungen der verschiedenen Security-Suites im Play Store fällt auch auf, dass die Viren-Scanner-Funktionen nur ein kleiner Bestandteil sind. Viel nützlicher sind hier die Datenschutzfunktionen oder der Schutz vor Angriffen via Webbrowser und E-Mail. Es gibt also durchaus Argumente für einen Virenscanner.

Empfehlenswerte Sicherheitseinstellungen im Überblick

Kurz zusammengefasst hier die Liste der empfehlenswerten Maßnahmen und Einstellungen. Zunächst zu den wichtigen Systemeinstellungen:

  • Sicherheit > Unbekannte Quellen: Am besten nicht erlauben bzw. direkt nach einer Installation wieder verbieten
  • Google > Sicherheit > Apps überprüfen
    • Gerät nach Sicherheitsbedrohungen durchsuchen: Eingeschaltet lassen
    • Erkennung schädlicher Apps verbessern: Hilft Google, noch nicht gescannte Apps zu erkennen. Wahlweise aktivieren.

Ein Virenscanner erscheint vor allem dann empfehlenswert, wenn Ihr häufig Apps aus unbekannten Quellen verwendet. Außerdem: Installiert Sicherheitsupdates, soweit sie für Euer Smartphone erscheinen. Liefert Euer Hersteller keine Updates? Oder nur sehr zögerlich? Schreibt dem Hersteller, dass er seine Update-Politik überdenken sollte.

Fazit: Android ist sicher, aber nicht zu hundert Prozent

Zurück zur Ausgangsfrage: Waren von Quadrooter wirklich 900 Millionen Geräte betroffen? Theoretisch verwundbar für die Sicherheitslücke: Ja. Aber die Schutzmaßnahmen seitens Google dürften diese Zahl schnell reduziert haben. Gerade in Europa werden die meisten Smartphones mit Google-Diensten verkauft, sodass vor allem asiatische Smartphones ohne Google-Addons übrig bleiben. Und wer keine Apps aus unbekannten Quellen zulässt, war eh aus dem Schneider (und somit eigentlich nicht für die Sicherheitslücke anfällig).

Dies bedeutet aber auch: Quadrooter bedroht bei weitem nicht hunderte Millionen Smartphones, sondern eine weit geringere Anzahl an Usern. Fraglich ist natürlich, ob die App-Überprüfung alle Quadrooter-Exploits wirklich abfangen kann. Dies müsste ein umfangreicherer Test mit entsprechend präparierten Apps zeigen. Ich bin aber gewillt Googles Entwarnung für belastbar zu halten: Die dahingehenden Äußerungen Googles sind sehr konkret und deutlich.

Stagefright hingegen ist nur mit einem Sicherheitspatch zu stopfen. Hier waren also tatsächlich die meisten Smartphones verwundbar, sodass zeitweise die Netzbetreiber die MMS-Zustellung deaktivierten. Google wiederum empfiehlt Messenger-Apps, Mediendaten nicht automatisch zu verarbeiten. Das perfide an Stagefright: Wer eine alte Android-Version ohne die Anzeige eines Sicherheitspatchlevels hat, ist noch immer von der Sicherheitslücke betroffen. Stand heute sprechen wir vor allem von Usern, die Android 4.3 und älter einsetzen, aber auch Kitkat- und Lollipop-Smartphones sind wahrscheinlich noch immer verwundbar.

Google hat allerdings aus Stagefright gelernt und mit den monatlichen Sicherheitspatches den richtigen Weg eingeschlagen. Jetzt muss nur noch die Verbreitung der Updates verbessert werden. Hier sind vor allem die Hersteller gefragt, die Updates auch an die User zu verteilen.

Dank ist diese Seite frei von Werbebannern

Top-Kommentare der Community

  • Ludy
    • Mod
    • Blogger
    18.01.2017

    Und wo ist jetzt dein Problem dabei? Es gibt täglich neue User, die das nicht wissen bzw. wissen können/kennen.
    Klar das hier viele - du eingeschlossen - das Problem und dessen Beseitigung schon kennen. Will dich damit jetzt nicht persönlich angreifen, das soll als allgemein gelten.

  • Hans-Thomas M. 18.01.2017

    Dass einige Virenscanner schon solche "potentiell unerwünschten Applikationen" bemängeln, liegt doch nur daran, dass sie ihre Notwendigkeit nachweisen müssen. Denn, wie "potentiell unerwünscht" ausdrückt, ist das die Meinung/Annahme des Herstellers der App. Und woher soll der wissen, ob ich vielleicht gerade auf diese Adware stehe? Wenn Google die wirklich schädlichen Apps, die Daten abziehen oder das Gerät gefährden, zuverlässig ausfiltert, hat es seine Aufgaben erfüllt.
    Viel problematischer ist, dass die Hersteller die Sicherheits-Patches entweder gar nicht oder nur mit großer Verzögerung nachziehen. Damit macht man es potentiellen Angreifern leichter.

45 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Izzy
    • Blogger
    19.01.2017 Link zum Kommentar

    > Vor dieser Adware wäre ich übrigens geschützt geblieben, hätte ich nicht die unbekannten Quellen aktiviert.

    Moment. Auch wenn "unbekannte Quellen" aktiviert ist, muss der Nutzer doch jede Installation noch bestätigen. Bestes Beispiel ist F-Droid: Bei jeder Installation bzw. jedem Update springt nach dem Download der Paket-Manager an, wo ich die Berechtigungen angezeigt bekomme und, so ich immer noch "willig bin", auf "Installieren" tippen muss. Apps DIREKT (unter Umgehung dieses Dialogs) zu installieren, ist System-Apps vorbehalten – unbekannte Quellen hin oder her.

    Wo ist da jetzt also der besondere Schutz?

    Klar, Du hättest Deine "initiale App" nicht installieren können. Aber hast Du einmal geschaut was passiert, wenn Du direkt nach dieser Installation "unbekannte Quellen" wieder deaktivierst? Hätte das einen Unterschied gemacht?

    (Malware-) Apps, die andere Apps "ungefragt" installieren (also die Einschränkung der "direkten Installation" irgendwie umgehen) können, lassen sich wahrscheinlich auch von diesem "Schalterchen" nicht sonderlich beeindrucken. Mache ich F-Droid zur System-App, stört der Schalter nämlich auch nicht – was Du ja mit dem Hinweis auf vorinstallierte, herstellereigene App-Stores bereits angedeutet hast.

    Einen kleinen Seitenhieb kann ich mir übrigens nicht verkneifen: Ein VIRENscanner sollte unter Android eigentlich gar nichts finden. Oder kannst Du einen VIRUS benennen, der unter Android in Umlauf ist? (Hint: Wer Magenschmerzen hat, ist krank – aber nicht jeder, der krank ist, hat Magenschmerzen. Ein Virus ist eine spezielle Art von Malware – aber nicht jede Malware ist ein Virus. Nur Virus klingt halt so schön gefährlich, da verkauft sich die Anti-App gleich viel besser…)

    Ludy


  • Die schlimmste Bedrohung an meinem Smartphone war bisher immer ein leerer Akku.


  • bin ich blind? ?^^...wo sollen die beiden Optionen sein ???


    Google > Sicherheit > Apps überprüfen
    Gerät nach Sicherheitsbedrohungen durchsuchen: Eingeschaltet lassen
    Erkennung schädlicher Apps verbessern: Hilft Google, noch nicht gescannte Apps zu erkennen. Wahlweise aktivieren.

    wo springst du bei Google rein ???


  • Ich erwarte einfach dass Google seiner Verantwortung nachkommt. Egal was für eine Bedrohung.
    Das bedeutet Google hat umgehend zu reagieren und daran zu arbeiten an einer Lücke.
    Infolge sind monatlich Patches als Pflichtkriterium für Zweitherersteller (Samsung und co.) zu setzen. Bei Firmwares sind die Hersteller ja nicht umgehend in der Lage zeitnahe zu reagieren. Konzeptbedingt einfach schwach im Kontext. Auch was allgemeine Standardisierung für Qualität von Apps betrifft.
    Wenn jemand noch nie Probleme hatte, dann bedeutet das nicht das kein Angriff oder eine Manipulation stattfanden. Sicherheit und Updates sind ein Primär-Argument für mich Nexus bzw eine reine Plattform zu kaufen. Aber sicher ist das klar auch nicht. Man kann aber zeitlich Abläufe optimieren. Was bei mir deutlich über einem individuellen Phone steht.
    Was das staatliches eindringen in Geräte betrifft sagt einem wohl keiner die Wahrheit. Alles unter dem Deckmantel sogenannter moderner Bedrohungen... Kaputte Menschen gabs schon immer. Nur andere Zusammenhänge. Meine Grundrechte werden aber beschnitten.

    Sehr guter Artikel.


  • Ich finde, der Artikel redet Quadrooter klein. Ein normaler Anwender hat die Installation aus unbekannten Quellen oft deshalb aktiviert, weil er einen alternativen App Store verwednen will und darüber einen bericht gelesen hat. Ihm ist das oftmals gar nicht bekannt.

    Ähnliches gilt für das dauerhaft aktivierte USB-Debugging, das im netz überall empfolen wird und dann an bleibt. Auch dadurch liese sich Schadsoftware einschleusen.

    Sicher müssen meistens mehrere Dinge zusammenkommen, aber dieser Fall ist auch nicht so selten, wie der Artikel glauben machen möchte.

    Stagefright ist ohne Frage ein GAU und beweist, wie besch...eiden die Updatesituation bei Android ist. Sie könnte viel besser sein, dazu wird das lange genug kritisiert. Auch Quadrooter könnte auf allen geräten geschlossen sein, ist es aber auch ein halbes Jahr nach Bekanntwerden nicht.

Zeige alle Kommentare

Empfohlene Artikel

Dank ist diese Seite frei von Werbebannern