Malware im Android Market, Teil 3

Ein neues Blog-Update von Google verspricht Maßnahmen, um mit dem Ausbruch der so genannten “DroidDream”-Malware fertig zu werden, die es sich letzte Woche im Android Market häuslich eingerichtet hat:

Malware im Android Market, Teil 1

Malware im Android Market, Teil 2

Dem Blog zufolge will Google für die Entfernung des Schädlings sorgen, indem das Unternehmen die Installation eines neuen Apps mit dem Namen “Android Market Security Tool March 2011” forciert. Wir haben uns dieses App einmal genauer angesehen und festgestellt, dass es die Sicherheitslücke nicht schließt, sondern nur die Applikationen entfernt, die bekanntermaßen schädlich sind. Google verspricht weiter, Veränderungen im Market umzusetzen, um diese Art von Problemen zu vermeiden und behauptet, dass “wir zusammen mit unseren Partnern daran arbeiten, das zugrundeliegende Sicherheitsproblem zu lösen.“

Dieser Teil scheint gut und schön zu sein, wären da nicht einige eklatante Punkte:

Der Google-Blog ist verwirrend. In dem Blog gibt Google an, dass “das Update das Exploit automatisch unschädlich macht.” Allerdings macht es Ihr Telefon nicht weniger angreifbar. Beim ersten Überfliegen des Blogs habe ich es so aufgefasst, dass verwundbare Smartphones nun vor den in DroidDream eingesetzten Exploits geschützt würden. Das ist nicht der Fall.

Die Umsetzung der “Reparaturmaßnahmen” ist unglaublich kurios; Google schiebt seinen Usern ohne deren Einwilligung eine Applikation unter, die Applikation wird ohne Zustimmung der User gestartet (auch bekannt als „Remote Code Execution“), die Applikation erhält dann Root-Privilegien, entfernt andere Anwendungen und löscht sich daraufhin selbst. Jeder dieser Schritte wäre akzeptabel, wenn der User auf irgendeine Art darüber informiert werden würde.

Es ist unmöglich, Sicherheitspatches lokal zu installieren. Aufgrund der Natur von Android in seiner aktuellen Form ist es äußerst schwierig, Sicherheits-Updates zu installieren, wie man es von Desktop-Betriebssystemen wie Linux oder Windows gewohnt ist. Anders als das iPhone, das Patches via iTunes installiert, oder Windows Mobile, das ActiveSync nutzt, arbeitet Android fast vollständig über drahtlose Kommunikation. Damit liegt die Last bei den Mobile Service Providern, die Updates über ihr mobiles Datennetzwerk an alle Kunden zu liefern. Das ist sehr teuer. Wäre Android in der Lage, gröbere Patches zu installieren und wären die Kunden in der Lage, diese über ein Desktop-Modell zu installieren – zumindest optional – so wäre viel getan, um den Service Providern, den Herstellern und den Kunden die Möglichkeit zu geben, regelmäßiger Sicherheits-Updates zu installieren.

Ein anderes Problem besteht darin, dass die Gerätehersteller selbst ihre bestehenden Plattformen nicht regelmäßig pflegen oder aktualisieren. In welches Forum zu mobilen Geräten man auch guckt, überall findet man User, die um ein Update für ihr jeweiliges Gerät betteln. Googles eigener Statistik, zufolge verwenden über 40% der Android-Anwender eine Version des Betriebssystems früher als Android 2.2. Selbst User der Version 2.2 sind angreifbar, da das Exploit auf 2.2.1 oder früher funktioniert. Leider ist die Statistik von Google nicht weit genug heruntergebrochen, um diese Zahlen sichtbar zu machen. Mit der kleinen Ausnahme der Kunden, die das Update vom Android Market Security Tool erhalten, bleiben alle angreifbar, die 2.2.1 oder niedriger verwenden. Das bedeutet, dass sie in diesem Moment ausgenutzt werden könnten.

Google verspricht Änderungen im Android Market, und diese Änderungen müssen erst einmal abgewartet werden. Wir können nur hoffen, dass man dabei die langfristigen Ziele im Auge behalten wird, um die Kunden auf dem aktuellen Stand zu halten, sie schnell mit Patches zu versorgen und ihnen dabei verschiedene Wege anzubieten. Google und seine Partner haben hier eine Möglichkeit ebenso wie eine Verpflichtung – wollen wir hoffen, dass sie beidem nachkommen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.