Der Android Sicherheits Thread

[hpk]

Da in vielen Threads immer wieder Sicherheitsaspekte verschiedener Art diskutiert werden, möchte ich hier mal die verschiedenen Aspekte zusammenfassen, so dass sich auch Newbies schnell einen Ueberblick verschaffen können, ohne Bits aus x Threads suchen zu müssen.

Folgende Aspekte geben immer wieder zu diskutieren:

- Wie sicher ist das Android Betriebssystem?
- Wie sicher sind die Applikationen aus dem Market?
- Brauche ich eine Firewall und Antivirensoftware?
- Missbraucht Google meine Daten?
- Wie kann ich meine Daten schützen, damit sie nicht in falsche Hände geraten (beim Ausleihen an einen Kollegen, bei Verlust oder bei Diebstahl)?
- Welches Restrisiko bleibt?

Die folgenden Bemerkungen gelten für ein Standardsystem, das mit dem Original-ROM des Herstellers betrieben wird, und nicht modifiziert wurde (Rootzugriff, Superuserrechte, Akzeptieren fremder Applikationen).

Wie sicher ist das Android Betriebssystem?

Bei der Entwicklung des Android Betriebssystem wurde von Anfang an an die Sicherheit gedacht und gravierende Mängel von Windows Systemen gar nicht erst übernommen.

Jede App läuft in einer eigenen Systemumgebung und kann nicht auf Umgebungen anderer Apps zugreifen (z.B. zum Auslesen von Parametern). Deshalb ist es auch nicht möglich, so einfache Applikationen wie eine ScreenShot Applikation zu schreiben.

Jede App muss bei der Installation deklarieren, welche Betriebssystem-Dienste (Klassen) genutzt werden (z.B. Internetzugriff, Zugriff auf Adress-Datenbank u.s.w.). Ein Programmierer kann dieses System nicht umgehen. Klassen, die nicht deklariert wurden, stehen dem Programm nicht zur Verfügung.

Wie sicher sind die Applikationen aus dem Market?

Im Gegensatz zu Apple prüft Google die Applikationen, die im Market erscheinen, nicht, bevor diese von den Programmierern angeboten werden dürfen. Auf den ersten Blick scheint das ein Sicherheitsmanko zu sein. Das trifft nur beschränkt zu und zwar aus folgenden Gründen:

- Die Idendität der Programmierer ist Google bekannt, ein Verstoss gegen die Regeln zieht Sanktionen seitens Google nach sich.

- Bei der Installation einer Applikation muss dem User angezeigt werden, welche Dienste des Betriebssystem diese App nutzt. Der User muss dem zustimmen, damit die App installiert werden kann. Dienste, die nicht deklariert wurden, können nicht genutzt werden.

- Eine verdächtige Applikation kann gemeldet werden. Nach einer Meldung wird die Applikation durch Google überprüft und allenfalls Sanktionen ergriffen.

- Google kann Programme, die auf dem Smartphone Schaden anrichten oder Daten missbrauchen können, löschen. Diesem Vorgehen stimmt man mit dem Akzeptieren der Google Bedingungen für den Marketzugriff zu. Bisher (Juli 2010) ist nur ein Fall bekannt, bei dem Google dieses Vorgehen angewendet hat.

Brauche ich eine Firewall und Antivirensoftware?

Beim gegenwärtigen Stand des Wissens (Juli 2010) sind Firewall und Antivirenprogramme nicht nötig, wenn ein User sein Smartphone mit dem Original-ROM des Herstellers betreibt, dieses nicht modifiziert hat und nur Applikationen aus dem Market installiert, die eine hohe Anzahl Downloads ausweisen können.

Wenn man sich die Feature-Listen von Antivirenprogrammen durchliest, sieht man deutlich, dass diese von Windows-Systemen übernommen werden. Vielen Herstellern von Firewalls und Antivirenprogrammenkann darf man unterstellen, dass sie mit der Unkenntnis, der Unsicherheit und den schlechten Erfahrungen der User gute Geschäfte machen wollen, ohne sich wirklich Gedanken zu machen, wie ein an und für sich sicheres System optimiert werden kann. Ausnahmen bestätigen wie immer die Regel.

Missbraucht Google meine Daten?

Die Wahrscheinlich ist gering. Google sammelt Daten, um attraktive und konkurrenzlose Dienste anbieten zu können. Ob diese Dienste Sinn machen oder nicht, muss jeder User selber entscheiden. Google ist sich des Risikos durchaus bewusst, die ein Skandal mit sich ziehen würde. Ein offensichtlicher Verstoss gegen Persönlichkeitsrechte oder allgemeine Datenschutzbestimmungen kommt früher oder später an die Oeffentlichkeit, das weiss auch Google.

Aus diesem Grund wird in den Bedingungen auch darauf hingewiesen, welche Daten Google erheben möchte. Ist ein User nicht damit einverstanden, kann er das ablehnen und auf bestimmte Services verzichten. Zudem lässt sich in den Einstellungen Googles Sammelleidenschaft einschränken (Beispiel: Standort-Meldung ausschalten).

Wie kann ich meine Daten schützen, damit sie nicht in falsche Hände geraten?

Das ist ein weites Gebiet, und hier sind clevere Programme gefragt.

Mal schnell das Handy jemandem in die Finger drücken, damit er sich ein Bild von der einfachen Bedienung machen kann? Okay, dann wär's aber sicher nicht schlecht, wenn man gewisse Daten ausblenden könnte.

Möglichkeit: Eigenen Google Account erstellen, der nur für vertrauliche Daten genutzt wird. Diese kann man dann in den Adressen und Terminen ausblenden, so dass sie standardmässig nicht angezeigt werden.

Directories ausblenden. Mit Apps wie z.B. 'Hide'n'Seek' können einzelne Directories auf der SDkarte ausgeblendet und können erst nach Eingabe eines Passwort angezeigt werden.

Befürchtung, das Handy zu verlieren oder Angst vor einem Diebstahl?

Wenn wirklich vertrauliche Daten auf dem Handy sind, ist PIN Lock und Password-Schutz zum Einschalten ein Muss.
Ein Smartphone, das vertrauliche Daten enthält, muss gehütet werden wie die Brieftasche oder der Schlüsselbund.

Eine Appliaktion wie WaveSecure ermöglicht es, das Handy nach einem Verlust zu orten. Wurde das Handy gestohlen, versucht die App, dieses zu sperren und die Daten von Ferne zu löschen. Klappt nicht 100%ig, ist aber sicher eine Möglichkeit zu versuchen, den Schaden zu minimieren.

Welches Restrisiko bleibt?

Trotz allen Sicherheitsmassnahen bleibt das Restrisiko bestehen, dass ein Programmierer die Rechte, die dem Programm bei der Installation eingeräumt werden, missbraucht. Wie ein Beispiel, das gestern publik wurde, zeigt, können selbst von einem Programm, dass über eine Million mal geladen wurde, Informationen missbräuchlich weitergeleitet werden. Bei einem nicht gerooteten Smartphone wird aber nicht wirklich ein Schaden angerichtet. Zudem handelt es sich bei diesem Restrisiko um eines, das Betriebssystem-unabhängig ist und auch auf einem iPhone, Windows Mobile oder Symbian Smartphone besteht.

Last but not least einige Links zu Threads, in denen das eine oder andere Thema bereits diskutiert wurde ...

- Wie sicher ist das Runterladen von .apk Dateien aus dem Netz?
- Antivir Software
- Antivirus für Android von Norton
- Spioniert Google deine Daten mit dem Android aus?
- Wallpapaer App spioniert Daten aus
- Angstmache vs. Reale Bedrohung

[Neosan]

Vielen Dank für die mühe die du dir gemacht hast jetz weiss ich endich das Android im Moment noch sehr sicher ist

Sent from my X10i using Tapatalk

[Tiz]

1.
Ich denke auch, dass das Risiko für den 0815 Anwender (nur weit verbreitete Apps mit vielen positiven Bewertungen aus dem Market verwenden, keine SU Rechte, USB Debug Mode ausgeschaltet) derzeit noch relativ gering ist. Allerdings gehöre ich nicht zu diesen Usern und viele andere, die sich hier im Forum herumtreiben, auch nicht.

2.
Was ich nicht so gut finde ist, dass der Beitrag wie eine Art Werbung für Android geschrieben ist und dadurch gewisse Zweifel an der Neutralität des Verfassers entstehen. Beispiel: "Google sammelt Daten, um attraktive und konkurrenzlose Dienste anbieten zu können." sowie "Herstellern von Firewalls und Antivirenprogrammenkann darf man unterstellen, dass sie mit der Unkenntnis, der Unsicherheit und den schlechten Erfahrungen der User gute Geschäfte machen wollen, ohne sich wirklich Gedanken zu machen, wie ein an und für sich sicheres System optimiert werden kann."

3.
Der Beitrag weist darauf hin, dass man Google und App Developern aus dem Markt eben VERTRAUEN muss, dass sie - wegen der damit verbundenen Konsequenzen und dem Prestigeverlust - schon nichts Schlimmes machen werden. (Den Herstellern von AVs und Firewalls werden hingegen eher böse Absichten unterstellt.). Ich meine, man sollte - falls möglich - niemand vertrauen (und schon gar nicht App Developern aus Staaten, in denen keine effektive Strafverfolgung der Developer möglichst ist bzw. effektiv stattfindet). Und ich meine, dass Kontrolle besser als Vertrauen ist. Leider gibt es für Android NOCH nicht viele Apps mit denen eine Kontrolle wie beim PC (Systemfirewall, port- und adressgenaue Firewall) möglich ist.

4.
Android ist ein sehr junges System. Vieles ist quasi noch im Beta Stadium. Mit der rasant zunehmenden Verbreitung des Systems steigt das Risiko, dass die sich im Markt befindlichen Apps, die nicht geprüft werden, irgendwann auch einmal etwas Schlimmes tun. Erst nachdem der Schaden bei vielen eingetreten ist, kann/wird Google die Apps löschen. Es gab für Android sogar schon rogue apps, die Bankdaten phishen ( http://www.firsttechcu.com/home/secu...ity_fraud.html, siehe ganz unten).

5.
Es ist besteht derzeit die Besorgnis, dass der Remotezugriff auf Smartphones, den sich Google einräumt, durch sog. man-in-the-middle Angriffe missbraucht werden kann, so dass ein Angreifer nach Gutdünken Apps auf dem Smartphone löschen und - noch wichtiger - bösartige Apps auf dem Smartphone installieren kann. Da ständig in allen wichtigen Betriebssystemen gravierende Sicherheitslücken gefunden werden, gefällt es mir nicht, darauf vertrauen zu müssen, dass der Google Remote Zugriff ausnahmsweise sicher ist.

6.
Es ist richtig, dass Apps angeben, welche Permissions sie verwenden. Allerdings verwenden fast alle Apps kritische Permissions und dadurch wird die ganze Sache im Grunde nutzlos. Man muss sich daher vorab entscheiden, ob man einer App vertraut und sie installieren will. Wieder hängt also alles am VERTRAUEN. Besser wäre es, wenn es eine Systemfirewall geben würde, mit der man Apps individuell eine Permission erlauben oder verneinen kann. Bis dahin hilft nur ein sehr umständliches manuelle Modifizieren von Apps, was möglicherweise sogar rechtlich problematisch ist: http://intrepidusgroup.com/insight/2...k-permissions/ Ich habe die Sorge, dass es auch in zukünftigen Android Versionen keine (System-)firewall geben wird, damit die Lobby der werbefinanzierten App Developer nicht verprellt wird.

7.
Ich habe mir noch keine abschliessende Meinung dazu gebildet, ob der Screenlock eines Phones wirklich sicher ist. Hierzu würde ich gerne weitere Meinungen hören. Kann man ein Phone mit Secret Codes booten und dadurch irgendwie einen Flash ermöglichen, nach welchem die Daten auf der internen SD dann trotzdem wieder freiliegen? Ich meine, dass zumindest einigen Phones hier schon Lücken nachgewiesen wurden (Beispiel: http://www.geekword.net/security-fla...ock-mechanism/ ). Ausserdem darf man natürlich keine Fingerabdrücke hinterlassen ( http://www.intomobile.com/2010/02/17...rds-dont-work/ ; )

8.
Wenn Android sich im business Segment durchsetzen soll, müsste es IMHO eine richtige on-the-fly Verschlüsselungslösung für die auf dem Smartphone befindlichen Daten geben.

[hpk]

@Tiz

Im Grunde genommen, sind wir uns einig, nur betrachten wir es mit unterschiedlicher Optik. Du sehr skeptisch aus der Unternehmenssicht, ich vorsichtig wohlwollend aus Usersicht.

Von den momenatan ca. 160'000 neuen Androidusern pro Tag, werden sicher mehr als 95% das Smartpohone unmodifiziert verwenden. Die sind froh, eine grosse Flexibilität bei der Gestaltung der Benutzeroberfläche zu haben, werden sich in den ersten paar Wochen einige Apps anschauen und dann zu einer für ihre Bedürfnisse 'normalen' Nutzung übergehen. Und die haben ein sicheres System.

Anmerkungen zu deinem Punkt 2:

Als Beispiel für einen attraktiven und konkurrenzlosen Dienst möchte ich hier Goolge Navigation erwähnen. Mit diesem Dienst haben alle User kostenlos Zugriff auf Satellitenbilder, Karten und Streetview Fotos, Berechnungen der Route von A nach B mit (verbesserungswürdigen) Fahranweisungen.

Klar kann man das nur mit guter mobiler Verbindung nutzen, heute im Roaming noch ziemlich teuer, aber das wird bald kein Thema mehr sein. Mobile Kommunikation wird in den nächsten Monaten und Jahren dieselbe Entwicklung (auch preislich) durchlaufen, wie wir sie von der drahtgebundenen Vernetzung her kennen, nur viel schneller. Da haben wir vor 15 Jahren mal mit Modems und 33'600 Baud angefangen im Internet zu surfen, heute kann jeder 20'000 Mbps DSL günstiger bekommen als die DialUp Technologie von damals.

Und zu der Unterstellung an die Adresse der Antiviren Hersteller:

Ich hab ja geschrieben, 'Ausnahmen bestätigen die Regel', und da möchte ich als Ausnahme Norton erwähnen. Wenn man sich ihre 'Norton Smartphone Security' Lösung ansieht, merkt man, dass es nicht um AntiVirus und Firewall Protection geht, sondern um Diebstahlsicherung und Bedrohungsschutz. Und das kann für den einen oder anderen User wichtig sein. Die Gefahren von Viren und Würmern, wie wir sie aus der Windows-Welt kennen, sind in der Android Umbegung kein Thema.

Ergo: Android Systeme sind für den Normaluser sicher und unbedenklich, der Verlust des Handies etwa genauso lästig wie der Verlust der Brieftasche, und wenn sich Geheimdienste für den Inhalt deines Handies interessieren, werden sie den auch lesen können

[Tiz]

Hier ein weiteres Beispiel:

http://www.areamobile.de/news/16046-...en-passwoerter

"Die auf mobile Sicherheit spezialisierte Firma Lookout hat ... vor Android-Apps gewarnt, die persönliche Daten des Anwenders ausspionieren. Als Beispiel nannte sie verschiedene Anwendungen des Entwicklers Jackeey. Vordergründig stellen sie dem Nutzer Hintergrundbilder für sein Handy zur Verfügung ... Im Hintergrund liest sie aber den Browser-Verlauf aus, Textnachrichten, SIM-Kartennummer, Anwenderidentifikationen und sogar das Passwort der Voicemail."

IMHO wird da noch viel mehr kommen. Eine komfortabel bedienbare Firewall für Android wäre daher mehr als sinnvoll.

[hpk]

Dieses Vorkommnis* zeigt, dass bei der Nutzung eines Internet Smartphones ein Restrisiko besteht. Ein Ausspionieren dieser Art kann man aber nicht als eine Android Schwäche abtun. So ein Programm kann auch auf einem iOS System laufen, ganz zu schweigen von den unzähligen PC's, die solche Programme hosten.

Da wir hier im Sicherheits-Thread sind die Frage, wie kann man sich gegen so etwas schützen? Die von Tiz angeregte 'komfortabel zu bedienende Firewall' wäre ein Ansatz, in der Praxis jedoch nicht wirklich benutzerfreundlich.

Wir als User möchten ja, dass uns das Programm mitteilt, wenn eine neue Version verfügbar ist, selbst wenn es sich um ein Wallpaper oder sowas Banales handelt. Wenn wir nun mit einer Firewall für jede Applikation die Berechtigungen eingeben, wird das ziemlich kompliziert. Je restriktiver die Einstellungen generell sind, desto schlechter laufen die Applikationen.

Für solche Probleme gibt es keine gute Lösung, es zeigt jedoch auf, dass eine gute Passwortverwaltung sinnvoll ist, d.h. nicht für alles das gleiche Passwort nutzen, und diese regelmässig wechseln. Und das wird nicht gemacht, so gesehen sind wir als Humanoiden das grösste Sicherheitsrisiko für unsere Androiden

Dass 'nur' das Passwort der VoiceMail ausgespäht wurde, zeigt, dass es auch für perfide Programmierer nicht so einfach ist, auf die vom System gespeicherten Passwörter (z.b. das des Google-Accounts) zuzugreifen ...

* siehe separaten Thread dazu

[pemko]

http://www.heise.de/newsticker/meldu...e-1047796.html jedes system ist betroffen

ich würde sagen schaut euch die bewertungen der apps an und seit auch bisschen aufmerksam

[Tiz]

"jedes System ist betroffen"

Nur weil andere Systeme Probleme haben (und vielleicht sogar noch viel schlimmer oder schlechter sind als unser System), besteht kein Grund zu glauben, dass einem mit Android nichts passieren kann.


"ich würde sagen schaut euch die bewertungen der apps an und seit auch bisschen aufmerksam"

Im Artikel stand, dass eine "populäre App, die millionenfach aus dem Android-Market heruntergeladen wurde, persönliche Daten an unbekannte Dritte" gesendet hat. Vermutlich hatte die auch eine gute Bewertung.

[pemko]

kann sein, aber es gibt massenhafte kleine apps mit lauter negativen bewertungern dass anmeldungen nicht gehen und so... diese könnten ja auch lediglich phishing apps sein oder?

[hpk]

Wie das Beispiel zeigt, besteht bei der Nutzung von Internet Smartphones immer ein Restrisiko. Aus meiner Sicht muss man mit diesem Risiko leben, wenn man die Annehmlichkeiten des Systems nutzen will.

Ich frag mich in so einem Fall nach dem 'worst case szenario', also welchen Schaden hätte das Programm in meinem Fall angerichtet:

- Browser-Verlauf ausspähen: Für mich kein Problem, den sehen andere auch (Google, MS, mein Chef, IT-Mitarbeiter, mein Provider ...)
- Textnachrichten lesen: Ich denke, meine dürften einen Chinesen (oder Amerikaner, Russen u.s.w.) nicht interessieren
- SIM-Kartennummer: Da bin ich unsicher, was kann ein gewiefter Hacker damit anfangen, auf meine Rechnung telefonieren?
- Voicemail-Passwort: Kein Problem, damit kann niemand wirklich was anfangen, das Passwort wäre mittlerweile wieder geändert.

Wie in einem früheren Post erwähnt, wäre das Ausspionieren des Google-Account Passwortes tragischer, da damit im Market eingekauft werden kann und mir dadurch ein materieller Schaden entstehen würde. Aber ich gehe davon aus, dass das genügend geschützt ist und nicht von einem beliebeigen Programm abgefragt werden kann. Programme wie Appbrain, die mit dem Google Account arbeiten, leiten für die Authentifizierung auf die Google Seite weiter, Google verifiziert das Passwort selber und gibt Appbrain nur ein OK durch.

Die wirklich wichtigen Dinge im System scheinen also gut gesichert zu sein ...

Edit 23:30:

In der Zwischenzeit wurde die Mitteilung von Lookout korrigiert:

Update: Lookout notes it does not capture browsing history and text messages. It collects your phone number, subscriber identification, and even your voicemail password, as long as it is programmed automatically into your phone.

Die Wallpaper Applikation hat also keinen Zugriff auf den Browserverlauf und die SMS Datenbank gehabt, sondern konnte nur SIM Informationen weiterleiten, weil sie die Berechtigung für 'phone calls' missbräuchlich genutzt hat.

[Tiz]

Dafür wird es jetzt bald richtig spassig...das erste Android Rootkit ist da

http://www.heise.de/newsticker/meldu...t-1049075.html

[hpk]

Dafür wird es jetzt bald richtig spassig...das erste Android Rootkit ist da

http://www.heise.de/newsticker/meldu...t-1049075.html

Ist sicher sehr gefährlich für Leute, die ein gerootetes Handy haben, die mit einem modifizierten Kernel arbeiten und regelmässig Custom ROMs flashen. Einmal mehr, die Gefahr ist für normale User ohne Adminrechte, die mit Originalsoftware arbeiten und sehr selektiv Applikationen aus dem Market laden, sehr gering.

[hpk]

In der Zwischenzeit ist der erste Trojaner auf Android Smartphnes entdeckt worden, der teure SMS auf entsprechende Seiten verschickt, und so einem User einen grossen finanziellen Schaden bereiten kann.

Wichtig auch hier:

Der Trojaner verbreitet sich ausschließlich mit Hilfe sozialer Maßnahmen. Er wird unbedarften Android-Besitzern als Mediaplayer schmackhaft gemacht. Da die Software nicht im Android Market angeboten wird, muss man die Datei manuell auf das Smartphone kopieren. Zum Ausführen muss man zudem noch einen Sicherheitsmechanismus von Android deaktivieren, der vor Nicht-Market-Apps schützen soll.

Hier geht's zum Thread zu diesem Trojaner

[Tiz]

Hier ein Beispiel für Sicherheitslücken, die es ermöglich(t)en auch bei vorsichtigen Nutzern Malware auf dem Palm Pre zu installieren bzw. bei allen Verwendern des Android Standardbrowsers Spionage zu betreiben:

http://www.heise.de/security/meldung...t-1058720.html

[hpk]

Im c't 2010-20, das am 13.09.2010 am Kiosk erscheint, gibt es zwei Artikel zum Thema "Smartphone Sicherheit".

Zusammenfassend wird festgehalten:

Alles das, was an Gefahren bereits auf dem Desktop-PC droht, findet langsam seinen Weg in die mobile Welt. Weil Smartphones für viele Besitzer mittlerweile zu einer Kommunikationszentrale geworden sind, immer "am Mann" sind und zudem mehr "Peripherie" mitbringen, die sich gegen den Anwender richten kann (GPS, Mikrofon), wird das Problem um einiges dramatischer. Dabei scheint das iPhone derzeit besser wegzukommen - was unter anderem an der verdongelten Plattform und dem restriktiven App Store liegt. Vermutlich dürfte es für Kriminelle derzeit zu riskant sein, Malware in den App Store zu schleusen, Anwender anzulocken und zu hoffen, dass die betrügerischen Machenschaften längere Zeit nicht auffliegen - denn nur so wird ein lohnendes Geschäftsmodell daraus. Zwar kann auch Google über den Market installierte Apps wieder zurückziehen, doch sind die Zugangshürden für Entwickler erheblich niedriger und eingestellte Anwendungen werden kaum kontrolliert. Zudem können Apps aus anderen Quellen auf ein Android-Gerät gelangen. Noch sind wir von einer epidemischen Malware-Verbreitung wie unter Windows weit entfernt, daher sind Virenscanner für Smartphones weiterhin unnötig - obwohl die Antivirenhersteller uns weiterhin vom Gegenteil überzeugen wollen. Und ob sich Virenscanner vernünftig ins System integrieren, ist ohnehin fraglich.

Während vor der Installation dubioser Apps bislang noch das Einschalten des Gehirns und im Zweifel der Abbruch des Vorgangs hilft, können ein paar einfache Handgriffe die Sicherheit der Geräte gegen fremde Zugriffe schützen. Ein paar davon finden sie in den Kästen für iPhone und Android. Welche Apps man aus Sicherheitsgründen am besten nicht zur Kommunikation in WLANs verwenden sollte, verrät zudem der Artikel ab Seite 86.

Im zweiten Artikel werden dann in einem Testaufbau 20 Android und 15 iPhone Apps und Systemkomponenten unter die Lupe genommen. Es wird getestet, ob die Logindaten bei verschiedenen Services verschlüsselt übertragen, Zertifikate richtig geprüft, und Daten grundsätzlich verschlüsselt übertragen werden. So können Aussagen gemacht werden, welche Services bedenkenlos über ein offenes WLAN verwendet werden können und wie gut sie gegen einen MITM (man in the middle) Angriff geschützt sind.

Insgesamt kann man feststellen, dass die Sicherheitsarchitektur des iPhones einem Angreifer nach einem Einbruch mehr Spielraum zur weiteren Kompromittierung des Geräts gibt. Der Einbruch an sich wird durch den Einsatz von XN und Code-Signatur stark erschwert. Bei Android sieht es genau anders herum aus. Das Einbrechen ist relativ einfach, sobald eine Schwachstelle in einer Systembibliothek gefunden ist. Das Auslesen von Benutzerdaten oder weitere Manipulationen sind allerdings kaum möglich, wenn die angegriffene App nur über wenige Zugriffsrechte verfügt - oder der Angreifer hat eine weitere Schwachstelle in der Hinterhand, um aus der Sandbox auszubrechen. Trotz aller Hürden zeichnet sich derzeit ab, dass Android bereits weiter in den Fokus Krimineller gerückt ist als das iPhone. Dabei nutzen die Autoren von Malware so gut wie nie Sicherheitslücken aus und verlassen sich vielmehr auf die Mithilfe des Anwenders, dubiose Apps zu installieren. Und genau hier wird die größere Offenheit von Android für viele Anwender zum Risiko.

In den Artikeln werden viele Sicherheitstipps für iPhone- und Android-User gegeben, für alle, die sich mit dem Thema Sicherheit auseinandersetzen wollen also äusserst lesenswert ...

Und hier noch der Link zur Seite von c't

[hpk]

Wer generell eine verschlüsselte Internet Verbindung nutzen möchte, kann dies mit einer VPN Verbindung zu einem eigenen Server zu Hause oder zu einem entsprechendem Service realisieren.

Wie das geht, erklärt der Artikel "Fernweh" von c't

[marktwain]

Also erstmal Danke für den Sicherheits-Thread.
Als sicherheitsbewußter Anwender suche ich eine Webseite, die nichts anderes anzeigt außer Security-Alerts zu Android bzw. zu Apps. So eine Art Heise Newsticker ausschließlich für die Android-Sicherheit. Gibt es sowas? Gerne auch auf Englisch oder in anderen Sprachen...

[pemko]

kannst ja ein blog gründen

das problem ist eifnach am anfang, dass du mit den news nachinkst

[Sagal]

Mit der Firewall-App DroidWall (benötigt allerdings Root) lassen sich immerhin Apps vom Internet abkoppeln: http://code.google.com/p/droidwall/

[hpk]

Gemäss einem Bericht von Lookout Mobile Security ist ein neuer Trojaner in Umlauf gebracht worden, der vererst nur über chinesische App Stores verbreitet wird. Betroffen sind unter anderen die Apps 'Monkey Jump 2', 'Sex Positions', 'President vs. Aliens', 'City Defense' und 'Baseball Superstars 2010'.

Dieser Trojaner soll folgende Aktionen durchführen können:

- Senden von Standort Koordinaten
- Senden von Geräte Identfikation (IMEI and IMSI)
- Download und Installation einer App (User muss sie bewilligen)
- Deinstallation einer App (User muss sie bewilligen)
- Sendet Liste der installierten Apps an einen Server

Wie bereits im Eingangspost erwähnt:

Beim gegenwärtigen Stand des Wissens (Juli 2010) sind Firewall und Antivirenprogramme nicht nötig, wenn ein User sein Smartphone mit dem Original-ROM des Herstellers betreibt, dieses nicht modifiziert hat und nur Applikationen aus dem Market installiert, die eine hohe Anzahl Downloads ausweisen können.

Dies gilt nach wie vor. Wer in den Einstellungen unter 'Anwendungen' 'Unbekannte Herkunft' nicht angehakt hat, kann sich keine Applikationen installieren, die nicht über den offiziellen Market verteilt werden und reduziert das Risiko massiv, einen solchen Trojaner einzufangen ...