Skip to content

Mein Bericht von der CeBIT 2015, Teil 2: Rund um Android

Im zweiten Teil meines Berichts von der CeBIT geht es um Android. Genauer: Die Apps dafür, die ja nicht immer tun, was sie sollen und/oder versprechen. Oder zumindest nicht nur das, sondern noch manches mehr, was dem Benutzer gar nicht recht ist. Solange er aber nichts davon merkt, kann er sich auch nicht schützen.

Der Androlyzer

Den Androlyzer vom DAI-Labor (Distributed Artifical Intelligence Laboratory) der TU Berlin habe ich schon im Bericht von der CeBIT 2014 kurz erwähnt, damals noch als webbasiertes Tool. Die Idee hinter dem Androlyzer ist eigentlich ganz einfach: Das Tool "guckt sich an", was eine App macht, und verlässt sich nicht auf die entsprechenden Angaben im App-Store. Eine statische Analyse der App verrät, was die App mit personen- und gerätebezogenen Daten alles anstellt. Und wenn dann zum Beispiel eine Wallpaper-App die IMEI und den Standort an die Entwickler schickt, fragt man sich ja schon, was das soll.

Sie können den Androlyzer auf Ihrem Android-Smartphone installieren, um die installierten Apps zu untersuchen. Das Tool führt die statische Analyse dabei direkt auf Ihrem Gerät mit der vorhandenen App durch. Sie können also sicher sein, dass genau die auf Ihrem Gerät installierte App untersucht wird. Nur für den Fall, dass ein Cyberkrimineller sowohl harmlose als auch bösartige Versionen einer App in Umlauf bringt. Denn dann könnte zum Beispiel in der Androlyzer-Datenbank die harmlose Version eingetragen sein, während auf Ihrem Smartphone die bösartige Version installiert ist.

Sie können auch vor der Installation einer neuen App in der Androlyzer-Datenbank nach dieser App suchen und auf deren Installation verzichten, wenn Ihnen zum Beispiel der Umgang der App mit Ihren Daten nicht gefällt.

Das vorherige Nachsehen in der Datenbank ist übrigens im Zweifelsfall der bessere Weg. Denn wenn eine App erst mal auf Ihrem Smartphone installiert ist, hat sie frei nach Murphy bereits den maximal möglichen Schaden angerichtet, bevor Sie ihr mit dem Androlyzer auf die Schliche kommen.

Der Androlyzer ist aber nicht nur für Benutzer, sondern auch für Entwickler interessant. Wenn Ihre App in der Androlyzer-Datenbank auftaucht und dabei verdächtig erscheint, kann es dafür ja mindestens drei Erklärungen geben:

  1. Sie greifen aus gutem Grund auf vertrauliche Informationen zu oder nutzen verdächtige Methoden.
    Dann sollten Sie dafür sorgen, dass die Benutzer Ihrer App umfassend darüber informiert werden. Nicht jede verdächtige Aktion ist wirklich bösartig gemeint, mitunter gibt es ja Gründe für zum Beispiel den Zugriff auf den Standort, die nur nicht ohne weiteres ersichtlich sind. Wenn Sie den Benutzer aber nicht darüber informieren, macht das Ihre App unnötig verdächtig.
  2. Sie greifen versehentlich auf vertrauliche Informationen zu oder nutzen verdächtige Methoden.
    Zum Beispiel, weil Sie Informationen oder Methoden für Tests verwendet und die entsprechenden Funktionen vor der Veröffentlichung nicht deaktiviert haben.
    Das sollten Sie dann schleunigst nachholen, damit Sie keine Benutzer vergraulen.
  3. Sie greifen auf vertrauliche Informationen zu oder nutzen verdächtige Methoden, weil Sie die missbrauchen wollen.
    Ok, ab in die Ecke und schämen!

Fast das Gleiche von der Uni Saarbrücken

Forscher der Uni Saarbrücken analysieren ebenfalls Apps, um bösartige Exemplare zu erkennen. Mit Hilfe einer Informationsflussanalyse wird unter anderem festgestellt, auf welche Daten eine App zu greift und wohin sie sie schickt. Außerdem werden verdächtige Aktionen wie zum Beispiel die Nutzung kostenpflichtiger Premium-Nummern erkannt.

Da diese Analyse sehr rechenintensiv ist und auch viel Speicher benötigt, erfolgt sie nicht auf dem Smartphone, sondern einem eigenen Server. Das Verfahren könnte zum Beispiel als eigenständiger Dienst angeboten werden, der heraufgeladene Apps analysiert und das Ergebnis auf dem Smartphone des Benutzers anzeigt, oder in einen App-Store integriert werden.

Noch befindet sich das Verfahren in der Entwicklung. Wenn es Marktreife erreicht hat könnte das ein interessanter Ansatz sein. Allein schon, um Apps mit mehreren unterschiedlichen Ansätzen zu prüfen.

Ab in den Sandkasten!

Und noch eine Entwicklung der Uni Saarbrücken: Eine Sandbox für verdächtige Apps. Jetzt werden Sie sicher denken "Was soll das denn, Android lässt die Apps doch sowieso in einer Sandbox laufen?". Das stimmt, aber darin haben sie alle Rechte etc., die es gibt. Der Ansatz der Forscher aus Saarbrücken ist sehr viel pfiffiger: Die verdächtige App läuft unter der Kontrolle der Sandboxing-App und erhält nur Zugriff auf die Daten und Funktionen, die ihr zugestanden werden.

Wenn Sie sich also zum Beispiel die Zeit mit einem Spiel vertreiben möchten, muss die entsprechende App ja im allgemeinen weder auf ihre privaten Daten noch auf zum Beispiel die IMEI oder den Standort zugreifen. Und auch Zugriffe auf das Netzwerk sind meist nicht wirklich nötig. Also können Sie das Spiel in einer Sandbox installieren, die darauf keinen Zugriff hat, und die App unbesorgt nutzen. Sie kann keinen Schaden anrichten, selbst wenn sie das wollte.

Umgekehrt funktioniert das Ganze natürlich auch: Wenn zum Beispiel Unternehmenskritische Apps in einer Sandbox installiert werden, kann keine andere App auf deren in der Sandbox gespeicherten Daten zugreifen, um sie auszuspähen.

Die Sandboxing-App ist ebenfalls noch nicht fertig, soll aber in den kommenden Monaten zu einem marktreifen Produkt weiterentwickelt werden. Da bin ich wirklich gespannt auf das Ergebnis. Den Ansatz finde ich jedenfalls sehr vielversprechend.

Soviel zum Thema "Android(-App)-Sicherheit" von der CeBIT 2015. Schrieb ich vorige Woche etwas von zwei Teilen? Ich habe hier noch einiges zur Cloud, das möchte ich nicht unerwähnt lassen. Es wird also einen dritten Teil geben, dann nicht nur mit neuen Forschungsergebnissen, sondern auch mit bereits marktreifen Produkten.

Carsten Eilers

Trackbacks

Keine Trackbacks