Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking Team ausgesetzt waren und es zum Teil immer noch sind. Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben. Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen. Die gefälschte „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen. Um die Sicherheitsprüfungen im Google Playstore zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt. Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Playstore hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern. Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte. Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten. Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Siehe auch:

http://www.trendmicro.de/newsroom/pr/android-apps-fuer-berechtigungsmissbrauch-anfaellig-spione-und-kriminelle-koennen-mitlesen/index.html

http://www.trendmicro.de/newsroom/pr/app-berechtigungen-google-erhoeht-komfort-und-die-gefahr/index.html

http://blog.trendmicro.de/gefaelschte-nachrichten-app-aus-dem-fundus-von-hacking-team/