Glaubt man der Voraussage der Netzwerkspezialisten von Cisco, wird es bereits in diesem Jahr auf der Erde mehr mobile Geräte geben als Menschen. Einen großen Anteil daran werden die Smartphones unter Googles Betriebssystem Android haben. Vom ersten "offiziellen" Android-Gerät, dem T-Mobil G1 (bei dem es sich um das HTC Dream handelte), bis hin zum Galaxy Nexus hat sich Android schnell verbreitet und mindestens ebenso schnell weiterentwickelt. Viele Kritiker meinen, dass gerade diese Schnelligkeit bei der Entwicklung in Zusammenhang mit der Vielzahl an Anbietern von Endgeräten einer der großen Schwachpunkte dieses Systems und damit der mit Android betriebenen Geräte ist: Nach ihrer Meinung bleibe deshalb viel zu häufig die Sicherheit auf der Strecke. Zudem erschwerten der schnelle Versionswechsel (siehe Tabelle) sowie die uneinheitliche Update-Politik der Smartphone-Anbieter, die gerade ältere Systeme nicht auf dem aktuellen Betriebssystemstand hielten, die Sicherheitslage zusätzlich.
Wir beschäftigen uns in diesem Artikel in einem kurzen Überblick mit den Besonderheiten und Herausforderungen des Betriebssystems, schildern die Gefahren und stellen Lösungen vor, die dem Android-Anwender helfen, seine Geräte sicherer zu machen. In weiteren Artikeln in den kommenden Wochen werden wir dann auch Apples iOS und Microsofts Antwort auf diese Smartphone-Betriebssysteme - Windows Phone 7 - unter die Lupe nehmen und diese drei "Kandidaten" dann abschließend vergleichen.
Android: das Betriebssystem
Wer die Frage nach dem derzeit erfolgreichsten Linux-System am Markt stellt, wird eine Überraschung erleben: Es handelt sich dabei nicht etwa um Ubuntu, Debian, Fedora oder gar SuSE. Die quelloffene und freie Software Android, die auf dem Linux-Kernel 2.6 aufsetzt, ist mit einem weltweiten Marktanteil von 52,5 Prozent sogar der Platzhirsch bei den Smartphone-Betriebssystemen. Diese Zahlen stammen von den Gartner-Analysten und beziehen sich auf das dritte Quartal 2011. Im Jahr zuvor lag Android mit einem Marktanteil von 25,5 Prozent noch auf einem der hinteren Ränge. Bereits im Sommer 2005 kaufte Google die unbekannte Softwareschmiede Android, die zwei Jahre zuvor von Andy Rubin gegründet worden war. Im Oktober 2008 wurde Android dann erstmals auch als Betriebssystem für Mobiltelefone vorgestellt. Mit den an die Java-Standard-Edition angelehnten Klassenbibliotheken, der ebenfalls auf Java basierenden virtuellen Maschine Dalvik (Dalvik Virtual Machine - DVM), einer integrierten SQLite-Datenbank und einer OpenGL-basierten 3D-Grafikbibliothek bietet Android eine sehr attraktive Plattform für Softwareentwickler - was sich auch an der großen Zahl der Apps ablesen lässt, die im Android Market zum Download bereitstehen.
Version |
Codename |
Erscheinungsdatum |
1.0 |
Base |
2008 |
1.1 |
Base_1_1 |
Februar 2009 |
1.5 |
Cupcake |
Mai 2009 |
1.6 |
Donat |
September 2009 |
2.0 (2.01/2.1) |
Eclair |
November 2009 / Januar 2010 (2.1) |
2.2 |
Froyo |
Juni 2010 |
2.3 (2.3.3) |
Gingerbread |
November 2010 / Februar 2011 (2.3.3) |
3.0 (3.1/3.2.) |
Honeycomb |
Februar 2011 / Juni 2011 (3.2) |
4.0 (4.03) |
Ice Cream Sandwich |
Oktober 2011 / Dezember 2011 |
5.0 |
Jelly Bean |
Soll 2012 erscheinen |
Das Betriebssystem und die Sicherheit
Wie sieht es mit den Gefahren für dieses Betriebssystem und damit für die mobilen Geräte aus, die es einsetzen? Eine Gefahrenquelle besteht sicher darin, dass es bei sehr vielen Android-Geräten für die Anwender möglich ist, die vollständige Kontrolle über das Gerät zu übernehmen: Durch das Ausnutzen von Lücken erlangt man alle Rechte des Super-Users "Root" (den Android von Linux geerbt hat). Bei derart "gerooteten" Geräten ist prinzipiell alles möglich. So können die Benutzer zum Beispiel Programme mit Funktionen installieren, die im Normalfall verwehrt blieben. Dadurch steigt das Sicherheitsrisiko enorm. In der Standardkonfiguration werden alle Anwendungen in sogenannten Sandboxen ausgeführt, also in abgeschlossenen Umgebungen. Dadurch ist die grundsätzliche Gefahr für das Gesamtsystem gering, da systemwichtige Dateien in der Regel nicht verändert werden können. Ganz anders bei den "gerooteten" Geräten: Hier kann alles verändert werden, da der Super-User (oder Root) auf den Linux/Unix-Systemen traditionell uneingeschränkte Rechte besitzt, was Schadsoftware dann entsprechend ausnutzen kann. Wer sein Telefon "rooten" möchte, sollte sich diesen Schritt genau überlegen und besonders kritisch alle Anwendungen prüfen, die unbedingt Root-Rechte voraussetzen.
Welche Gefahren drohen
Doch es lauern weitere Gefahren auf die Anwender mit Android-Geräten. Die Experten von Lookout und Kaspersky sind sich in ihren Analysen einig: Die Bedrohungen für mobile Anwendungen auf der Android-Plattform werden noch zunehmen. So gibt es bereits Angriffe, die sich auf ein Einfallstor spezialisieren, das so auf PCs nicht vorhanden ist und deshalb leider von den Anwender häufig nicht als Sicherheitslücke vorgenommen wird: die Kurznachrichten SMS. Folgende Gefahren werden nach einhelliger Meinung der meisten Experten die mobilen Geräte im Jahr 2012 verstärkt bedrohen:
-
Mobile Pickpocketing (SMS oder Call Fraud): Dieser "Taschendiebstahl der mobilen rt" wird deshalb möglich, weil viele Mobiltelefone eine Abrechnung per SMS ermöglichen und Betriebssystem wie Android standardmäßig keine Kontrolle über diese Daten besitzen. Der Trojaner GGTracker war einer der ersten dieser Angriffe auf Android-Systeme;
-
Aber nicht nur die SMS, sondern auch Botnetze jeder Art sind ein Gefahr: So haben viele bösartige Apps bereits dafür gesorgt, dass eine große Zahl von Mobilgeräten in solche Botnetze integriert wurde. Beispiele hierfür sind der Trojaner Geinimi und die recht bekannte Malware DroidDream, die auch in Apps im Android-Market auftauchte;
-
DroidDream ist auch deshalb etwas Besonderes, weil diese Malware entsprechende Schwachstellen der mobilen Telefone ausnutzte. Auch hier müssen sich die Anwender immer wieder bewusst machen, dass sie es mit sehr komplexen Softwarelösungen zu tun haben, die fast selbstverständlich Lücken aufweisen werden.
Das Security-Team von Lookout hat in einem Vortrag auf der Black Hat Konferenz 2011 in Las Vegas sehr schön dargestellt, wie der Patch Lifecycle bei Android die Sicherheit auf die gleiche Art und Weise beeinflusst, wie das auch bei anderen Betriebssystemen auf "großen Rechnern" der Fall ist.
Was der Anwender tun kann (einfache Sicherheitstipps)
Wie schon auf PC-Systemen, kann den Anwendern aller Mobil-Geräte und besonders natürlich denen, die ein Android-Gerät einsetzen, nur geraten werden, gerade beim Einsatz dieser Geräten den "gesunden Menschenverstand" nie außer Acht zu lassen. Die folgenden Sicherheitsratschläge können dabei helfen:
-
Rooten Sie auf keinem Fall Ihr Android-Handy und misstrauen Sie grundsätzlich allen Apps, die nur mit einem "gerooteten" System funktionieren;
-
Installieren Sie keine Betriebssystemversionen aus "dubiosen" Internetquellen: Es mag schmerzlich sein, dass der Hersteller Ihres Mobiltelefon kein Update auf eine aktuelle Android-Version anbietet - aber eine neuere Version aus einer unbekannten Quelle wird die Sicherheit nicht erhöhen;
-
Installieren Sie genauso wie bei Ihrem Windows-PC unbedingt die Updates, die vom Hersteller geschickt werden;
-
Vermeiden Sie die Installation von "Anwendungen aus unbekannten Quellen" und schalten Sie diese Option im Einstellungsmenü von Android aus;
-
Gerade mit dem Smartphones ist die Versuchung groß, über offene WLANs ins Internet zu gehen: Denken Sie daran, dass dann alle Daten im Klartext über das Netz gehen - das gilt auch für die Passwörter der E-Mail oder der Banking-App, solange diese Anwendungen bei der Verbindung nicht explizit einen sicheren Tunnel aufbauen;
-
Installieren Sie eine Sicherheitssoftware (wir stellen im Verlauf dieses Artikels einige vor) auf Ihrem mobilen Gerät, die im Zweifelsfall auch in der Lage ist, die Daten aus der Ferne zu löschen.
Software, die kostenlose Sicherheit bietet: AVG Free für Android
Aus der vorherigen Auflistung geht es bereits hervor: Die Benutzer sollten sich nicht von den kleinen Abmessungen ihres Smartphones oder Tablet-PCs in die Irre führen lassen. Es handelt sich bei diesen Geräten um beinahe ausgewachsene Computer.
Das Risiko, sich auf einem Android-basierten Computer mit einem Virus oder Trojaner zu infizieren, ist dabei ebenso hoch wie auf einem Windows-Rechner. Aber Antivirenlösungen gibt es auch für Android-Systeme - unter anderem vom Anbieter AVG sogar in einer kostenfreien Version. Beinahe 135.000 positive Bewertungen für dieses Programm mit fünf Sternen im Market sprechen eine überaus deutliche Sprache. Direkt nach dem Download und der Installation prüft diese Software, ob sie gefährliche Schadprogramme im System findet.
Weitere Vorteile dieser freien Lösung
-
Praktischerweise prüft AVG auch die Einstellungen auf potenzielle Unsicherheiten. Ist beispielsweise die Einstellung "USB-Debugging" aktiviert, so wird dies als mögliches Sicherheitsrisiko eingestuft;
-
Auch die nicht ratsame Einstellung, dass auch aus nicht vertrauenswürdigen Quellen eine Installation von Software vorgenommen werden darf, wird hier bemängelt.
Durch einen Fingerdruck kann der Anwender aus dem AVG-Fenster den jeweiligen Einstellungsdialog öffnen und die risikobehaftete Einstellung direkt abschalten. Soll eine Einstellung dauerhaft aktiv bleiben, beispielsweise der von Softwareentwicklern benötigte "USB-Debugging-Mode", ist es durch das Setzen eines Häkchens möglich, diesen Warnhinweis nie wieder anzuzeigen.
-
Einen Diebstahlschutz mit Mobiltelefon-Finder über eine AVG-eigene Webseite, eine gezielte Telefonsperre und die Remote-Löschung runden das kostenlose Programm, das ab der OS Version 1.6 eingesetzt werden kann, ab;
-
In der kostenpflichtigen Professional-Version wird die App mit einer Backup- und Tuning-Software und einem Privatsphärenschutz für gesperrte Apps weiter aufgewertet.
Bei unseren Tests entdeckte AVG Free zwar die EICAR-Testsignatur auch in ZIP-Archiven, war aber leider nicht in der Lage, typische Windows-Viren, die wir über die SD-Karte auf ein Android-Tablet kopiert haben, zu finden und den Nutzer entsprechend zu alarmieren. Zwar können diese Programme dem Android-Gerät nichts anhaben, dennoch kann es leicht als Zwischenspeicher dienen, von dem aus dann die Viren bei der nächsten Synchronisation auf den Windows-PC gelangen!
Mehr Möglichkeiten: Lookout Mobile Security
Der bereits erwähnte Hersteller Lookout, der sich auf den Schutz mobiler Systeme spezialisiert hat, bietet seit Dezember 2011 ebenfalls eine deutschsprachige Version seiner Security-Lösung an. Neben dieser mehr traditionellen Software (Lookout Security & Antivirus) bietet der Hersteller weitere Apps an, die helfen sollen, die Sicherheit auf Android-Smartphones zu erhöhen:
-
Carrier IQ-Detektor: Vor nicht allzu langer Zeit haben Sicherheitsfachleute festgestellt, dass einige mobile Geräte vorinstallierte Software der Firma Carrier IQ installiert haben, die durchaus als Root-Kit, zumindestens aber als Spionagesoftware bezeichnet werden kann. Diese Lösung zeigt allerdings nur an, ob die Software oder Teile von ihr auf dem Android-Gerät vorhanden sind - das Entfernen muss der Anwender dann selbst bewältigen.
-
Ad Network Detector: Untersucht das Telefon oder Tablet darauf, ob eines der bekannten Netzwerke für Anzeigen (Ad Networks) auf dem Android-Gerät aktiv ist. Die App zeigt dem Anwender auch an, welche seiner Apps auf dem Gerät die Verbindung zu diesem Netzwerk aufbaut.
-
Mobile Threat Tracker: Eine visuell sehr ansprechende App, die über den jeweils aktuellen Stand der mobilen Bedrohungen informiert: Dieses Tool hilft zwar nicht, wenn ein Android-Gerät bereits befallen ist, dient aber der Aufklärung und kann dem interessierten Anwender nützliche Hinweise geben.
Für Otto Normalanwender …
Für die meisten Anwender dürfte aber die "normale" Security- und Antiviren-Lösung des Herstellers die interessanteste Anwendung sein. Ganz ähnlich wie bei anderen Anbietern bietet auch Lookout dem Android-User eine kostenlose und eine deutlich erweiterte und kostenpflichtige Premium-Version dieser App an. Aber auch die Freeware kann schon mit vielen Sicherheitsfunktionen punkten:
-
Schutz vor Spyware und Malware. Die Software prüft nach der Installation alle Apps auf dem Telefon und scannt automatisch jede neu hinzukommende App auf entsprechende Bedrohungen;
-
Backup-Möglichkeit: Die Daten auf dem Smartphone können nach einem Zeitplan automatisch oder auch direkt "per Hand" auf die Seite des Herstellers gesichert werden. Erst mit der kostenpflichtigen Premium-Version funktioniert das auch für Bilder und die Anrufhistorie - was sehr praktisch beim Einrichten eines neuen Systems ist;
-
Geräteortung: Mithilfe dieser Funktion kann das Gerät über den Account beim Hersteller (den der Anwender anlegen muss) im Zweifelsfall wieder aufgespürt werden. Mit der Premium-Version kommen hier Features hinzu, die es dem Anwender ermöglichen, das Gerät zu sperren und Daten aus der Ferne zu löschen.
... und für Fortgeschrittene
Weiterhin bietet nur die Premium-Version zwei weitere Features, die als "App-Berater" und "Sicher surfen" bezeichnet werden. Während die Funktion "Sicher surfen" vor Phishing und Malware in Links oder beim Surfen mit dem Web-Browser schützen soll, zeigt der App-Berater sehr genau an, welche Apps auf dem Telefon beispielsweise den Standort nachverfolgen oder auf die persönlichen Daten zugreifen.
Bereits die freie Version dieser Software bietet dem Anwender eine ganze Menge Schutz: Im Gegensatz zur Lösung von Avast oder zur Security-Lösung von Kaspersky, die wir auf einem älteren Android-Systeme einsetzten, bemerkte diese Lösung den EICAR-Test-String auf der SD-Karte aber nicht. Auch hier kann man sicher einwenden, dass diese Art von Viren sowieso nicht gefährlich sind für Android-Systeme; trotzdem bleibt ein ungutes Gefühl, wenn diese einfache Textdatei - die der Anwender in der Regel nur mit großer Mühe an den Standardschutzprogrammen auf einem PC vorbeischleusen kann - völlig ignoriert wird.
Fazit: Aufmerksamkeit ist geboten
Zum Abschluss noch eine beruhige Erfahrung, die wir bei unseren Tests mit Android-Telefonen und -Tablets machen konnten: Im krassen Gegensatz zu der häufigen "Panikmache" in den Medien (gerade Android ist hier ein beliebtes Ziel vieler IT- und auch Massenmedien), ist ein erfolgreicher Angriff auf ein Standard-Android-Gerät, auf dem sich die üblicherweise installierte Software befindet und das nicht manipuliert (= gerootet) wurde, glücklicherweise nicht so einfach zu bewerkstelligen. So haben wir im Testlabor einen Tablet-PC mit Android Version 2.3.5. mit dem Apple MAC OS 10.5 Port-Scanner eingehend übergeprüft, ohne dass ein geöffneter Port als Lücke entdeckt werden konnte. Einen entsprechenden Online-Portscanner bietet beispielsweise der Landesbeauftragte für den Datenschutz des Landes Niedersachsen an.
Die testweise gestartete Suche mit Nexpose, einem in der Community Edition freien Vulnerability-Scanner, ergab zwar zumindest eine theoretische Lücke im ICMP-Zeitstempel. Diese wurde jedoch bereits 1997 dokumentiert. Der Angriff mit der Software zum Penetrations-Test Metasploit, den wir anschließend starteten, verlief dann allerdings ergebnislos - wir konnten das Gerät auf diese Weise nicht angreifen.
Anwender, die bewusst mit ihren Android-Geräten umgehen und bei diesen mindestens ebenso viel Vorsicht walten lassen, wie sie es bei einem Notebook-System tun, mit dem sie sich beispielsweise in einem öffentlichen WLAN befinden, können von der Vielfalt und den vielen Möglichkeiten des Android-Betriebssystems sowie von der riesigen Auswahl an Apps profitieren. Zudem sollte ein Android-Anwender seine Aufmerksamkeit in puncto Sicherheit auch auf telefontypische Funktionen wie SMS richten und auf jedem Fall eine entsprechende Sicherheitssoftware auf seinem System einsetzen. (mec)
Dieser Artikel basiert auf einem Beitrag von Computerwoche.