Freitag, 30. Juli 2010

Spyware und Viren unter Android und sonstwo

Wie schon mehrfach zuvor kursierten in den letzten Tagen Meldungen über angebliche Spyware unter Android. Wie schon mehrfach zuvor handelte es sich möglicherweise um Halbwahrheiten und Aufgebauschtes. Wie schon mehrfach zuvor scheint die Quelle dieser Meldungen die Firma lookout zu sein, die ihre Sicherheitssoftware für Moblitelefone verkaufen möchte. Nachgeplappert wurde die Meldung trotzdem nahezu überall.
Schön und ausführlich dokumentiert ist dieser Fall bei mobiflip.de; die Lektüre dieses Artikels empfehle ich wärmstens.
Mir kommt das Ganze genauso vor wie die immer wieder von Antivirensoftware-Herstellern herausgegebenen Warnungen vor Viren unter Mac OS X, die leider aus ganz ähnlichen Gründen niemand mehr ernst nimmt.
In beiden Fällen existiert eine theoretische Bedrohung, und es ist nur eine Frage der Zeit, bis sich auch wirklich relevante Fälle mit großem Schadpotential ereignen werden. Vorsicht ist also mehr als angebracht.
Wer aber mit nur theoretisch vorhandenen Bedrohungen versucht, Angst zu schüren, nur um seine Software zu verkaufen, wird die Sicherheitssitaution eher verschlechtern: Die User lernen, dass entsprechende Meldungen nur PR-Gags sind, wiegen sich in trügerischer Sicherheit und achten nicht mehr auf zentrale Vorsichtsmaßnahmen.
Am Beispiel Android sind die Möglichkeiten „böser Jungs“ schön aufzuzeigen:
Auch wenn es meines Wissens bislang nicht in größerem Umfang passiert ist, wäre es doch vermutlich kein Problem, eine Applikation im Android-Market (und an anderen Stellen im Netz) zu platzieren, die neben ihrer angeblichen Tätigkeit noch andere Dinge tut: Adressen ausspähen etwa, oder Verbindungen zu Hacker- oder Spammer-Servern aufbauen, um für Botnetze zur Verfügung zu stehen.
Denn: Google kontrolliert die im Android Market angebotene Software nicht dahingehend. Zwar zeigt jede Anwendung vor der Installation an, welche Rechte sie haben möchte, aber zum einen sind nicht alle schlau genug, die angebotenen Informationen zu verstehen oder lesen sie überhaupt, zum anderen sind die Informationen nicht immer hilfreich.
Wenn etwa eine Applikation vollen Zugriff aufs Internet verlangt, ist es nur logisch, dass sie das benötigt, wenn es etwa eine Internetradio-Applikation wäre. Wozu die Möglichkeiten einer Internetverbindung sonst noch genutzt werden, ist nicht klar (und kann mit vernüftigem Aufwand auch nicht näher eingegrenzt werden). Und dabei muss es noch nicht einmal Internetradio sein: Jede werbefinanzierte App braucht Internetzugriff für die Werbung, und davon gibt es viele.
Eindeutiger sind da schon Zugriffsberechtigungen auf Kontakte und Kalender. Leider ignorieren viele User die gegebenen Informationen schlichtweg.
In Kommentaren zu Apps werden solcherlei Seltsamkeiten meist recht schnell publiziert. Aber auch die muss man erstmal lesen.
Beim iPhone ist alles besser? Mitnichten. Zumindest bis iPhone OS 3.1.3, das ich noch benutzt habe, gab es dort nicht einmal die Möglichkeit, überhaupt herauszufinden, was eine App so alles machen will. Lediglich die völlig ungefährliche Möglichkeit, Push-Nachrichten zu empfangen war einschränkbar. Ein Kommentar beim obigen Mobiflip-Artikel impliziert für iOS 4 jetzt Anderes, aber selbst gesehen habe ich das bisher nicht, nicht einmal darüber gelesen.
Update: Man konnte und vmtl. kann einer App auf dem iPhone den Zugriff aufs GPS verweigern, daran hatte ich nicht mehr gedacht. Früher gab es keinerlei Zugriff auf den Kalender für Drittanbieter-Apps, dafür durfte jede App ungefragt Kontaktdaten lesen und verändern. Seit iOS 4 gibt es auch eine API für den Kalender – von einer möglichen Einschränkung durch den User oder zumindest einem Hinweis, wenn Apps auf solche Daten zugreifen können, habe ich noch nichts gehört.
Immerhin prüft Apple alle Applikationen, die im AppStore landen, vor Veröffentlichung, unter anderem auch auf solche Gefahrenpotentiale. Wer das wirklich will, kann solche Aktionen aber auch verschleiern. Und zudem hat es Apple bei seiner Prüfung seinerzeit nicht einmal als besorgniserregend empfunden, als diverse Applikationen die Handynummern aller Nutzer an ihre Entwickler übertrugen. Dass via PinchMedia werbefinanzierte iPhone-Apps oft routinemäßig den Standort des Users sammelten und auswerteten, war nur ganz kurz ein Aufreger. Inzwischen scheint das niemanden mehr zu kümmern. Siehe zu dem Thema auch diesen Artikel.

Ob am Mac oder unter Android, am iPhone oder unter Windows: Ein bisschen gesunden Menschenverstand sollte man schon einsetzen, wenn man internetfähige Geräte benutzt. Dazu gehört zum Beispiel, Mailanhänge von unbekannten Absendern nicht zu öffnen, nicht auf Links in dubiosen Mails zu klicken und keine gecrackte Software aus dunklen Quellen zu benutzen. Aber eben auch, sich zuallermindest über die direkt augenfällig verfügbaren Quellen über die Software zu informieren, die man auf dem Smartphone installiert.
Absolute Sicherheit ist so nicht zu erreichen, aber die gibt es auch auf keinem anderen Weg. Immerhin reduziert man so aber die Chance, sich übelwollende Software einzufangen, sehr deutlich.

Keine Kommentare:

Kommentar veröffentlichen