Der Android Sicherheits Thread

Da in vielen Threads immer wieder Sicherheitsaspekte verschiedener Art diskutiert werden, möchte ich hier mal die verschiedenen Aspekte zusammenfassen, so dass sich auch Newbies schnell einen Ueberblick verschaffen können, ohne Bits aus x Threads suchen zu müssen.

Folgende Aspekte geben immer wieder zu diskutieren:

- Wie sicher ist das Android Betriebssystem?
- Wie sicher sind die Applikationen aus dem Market?
- Brauche ich eine Firewall und Antivirensoftware?
- Missbraucht Google meine Daten?
- Wie kann ich meine Daten schützen, damit sie nicht in falsche Hände geraten (beim Ausleihen an einen Kollegen, bei Verlust oder bei Diebstahl)?
- Welches Restrisiko bleibt?

Die folgenden Bemerkungen gelten für ein Standardsystem, das mit dem Original-ROM des Herstellers betrieben wird, und nicht modifiziert wurde (Rootzugriff, Superuserrechte, Akzeptieren fremder Applikationen).

Wie sicher ist das Android Betriebssystem?

Bei der Entwicklung des Android Betriebssystem wurde von Anfang an an die Sicherheit gedacht und gravierende Mängel von Windows Systemen gar nicht erst übernommen.

Jede App läuft in einer eigenen Systemumgebung und kann nicht auf Umgebungen anderer Apps zugreifen (z.B. zum Auslesen von Parametern). Deshalb ist es auch nicht möglich, so einfache Applikationen wie eine ScreenShot Applikation zu schreiben.

Jede App muss bei der Installation deklarieren, welche Betriebssystem-Dienste (Klassen) genutzt werden (z.B. Internetzugriff, Zugriff auf Adress-Datenbank u.s.w.). Ein Programmierer kann dieses System nicht umgehen. Klassen, die nicht deklariert wurden, stehen dem Programm nicht zur Verfügung.

Wie sicher sind die Applikationen aus dem Market?

Im Gegensatz zu Apple prüft Google die Applikationen, die im Market erscheinen, nicht, bevor diese von den Programmierern angeboten werden dürfen. Auf den ersten Blick scheint das ein Sicherheitsmanko zu sein. Das trifft nur beschränkt zu und zwar aus folgenden Gründen:

- Die Idendität der Programmierer ist Google bekannt, ein Verstoss gegen die Regeln zieht Sanktionen seitens Google nach sich.

- Bei der Installation einer Applikation muss dem User angezeigt werden, welche Dienste des Betriebssystem diese App nutzt. Der User muss dem zustimmen, damit die App installiert werden kann. Dienste, die nicht deklariert wurden, können nicht genutzt werden.

- Eine verdächtige Applikation kann gemeldet werden. Nach einer Meldung wird die Applikation durch Google überprüft und allenfalls Sanktionen ergriffen.

- Google kann Programme, die auf dem Smartphone Schaden anrichten oder Daten missbrauchen können, löschen. Diesem Vorgehen stimmt man mit dem Akzeptieren der Google Bedingungen für den Marketzugriff zu. Bisher (Juli 2010) ist nur ein Fall bekannt, bei dem Google dieses Vorgehen angewendet hat.

Brauche ich eine Firewall und Antivirensoftware?

Beim gegenwärtigen Stand des Wissens (Juli 2010) sind Firewall und Antivirenprogramme nicht nötig, wenn ein User sein Smartphone mit dem Original-ROM des Herstellers betreibt, dieses nicht modifiziert hat und nur Applikationen aus dem Market installiert, die eine hohe Anzahl Downloads ausweisen können.

Wenn man sich die Feature-Listen von Antivirenprogrammen durchliest, sieht man deutlich, dass diese von Windows-Systemen übernommen werden. Vielen Herstellern von Firewalls und Antivirenprogrammenkann darf man unterstellen, dass sie mit der Unkenntnis, der Unsicherheit und den schlechten Erfahrungen der User gute Geschäfte machen wollen, ohne sich wirklich Gedanken zu machen, wie ein an und für sich sicheres System optimiert werden kann. Ausnahmen bestätigen wie immer die Regel.

Missbraucht Google meine Daten?

Die Wahrscheinlich ist gering. Google sammelt Daten, um attraktive und konkurrenzlose Dienste anbieten zu können. Ob diese Dienste Sinn machen oder nicht, muss jeder User selber entscheiden. Google ist sich des Risikos durchaus bewusst, die ein Skandal mit sich ziehen würde. Ein offensichtlicher Verstoss gegen Persönlichkeitsrechte oder allgemeine Datenschutzbestimmungen kommt früher oder später an die Oeffentlichkeit, das weiss auch Google.

Aus diesem Grund wird in den Bedingungen auch darauf hingewiesen, welche Daten Google erheben möchte. Ist ein User nicht damit einverstanden, kann er das ablehnen und auf bestimmte Services verzichten. Zudem lässt sich in den Einstellungen Googles Sammelleidenschaft einschränken (Beispiel: Standort-Meldung ausschalten).

Wie kann ich meine Daten schützen, damit sie nicht in falsche Hände geraten?

Das ist ein weites Gebiet, und hier sind clevere Programme gefragt.

Mal schnell das Handy jemandem in die Finger drücken, damit er sich ein Bild von der einfachen Bedienung machen kann? Okay, dann wär's aber sicher nicht schlecht, wenn man gewisse Daten ausblenden könnte.

Möglichkeit: Eigenen Google Account erstellen, der nur für vertrauliche Daten genutzt wird. Diese kann man dann in den Adressen und Terminen ausblenden, so dass sie standardmässig nicht angezeigt werden.

Directories ausblenden. Mit Apps wie z.B. 'Hide'n'Seek' können einzelne Directories auf der SDkarte ausgeblendet und können erst nach Eingabe eines Passwort angezeigt werden.

Befürchtung, das Handy zu verlieren oder Angst vor einem Diebstahl?

Wenn wirklich vertrauliche Daten auf dem Handy sind, ist PIN Lock und Password-Schutz zum Einschalten ein Muss.
Ein Smartphone, das vertrauliche Daten enthält, muss gehütet werden wie die Brieftasche oder der Schlüsselbund.

Eine Appliaktion wie WaveSecure ermöglicht es, das Handy nach einem Verlust zu orten. Wurde das Handy gestohlen, versucht die App, dieses zu sperren und die Daten von Ferne zu löschen. Klappt nicht 100%ig, ist aber sicher eine Möglichkeit zu versuchen, den Schaden zu minimieren.

Welches Restrisiko bleibt?

Trotz allen Sicherheitsmassnahen bleibt das Restrisiko bestehen, dass ein Programmierer die Rechte, die dem Programm bei der Installation eingeräumt werden, missbraucht. Wie ein Beispiel, das gestern publik wurde, zeigt, können selbst von einem Programm, dass über eine Million mal geladen wurde, Informationen missbräuchlich weitergeleitet werden. Bei einem nicht gerooteten Smartphone wird aber nicht wirklich ein Schaden angerichtet. Zudem handelt es sich bei diesem Restrisiko um eines, das Betriebssystem-unabhängig ist und auch auf einem iPhone, Windows Mobile oder Symbian Smartphone besteht.

Last but not least einige Links zu Threads, in denen das eine oder andere Thema bereits diskutiert wurde ...

- Wie sicher ist das Runterladen von .apk Dateien aus dem Netz?
- Antivir Software
- Antivirus für Android von Norton
- Spioniert Google deine Daten mit dem Android aus?
- Wallpapaer App spioniert Daten aus
- Angstmache vs. Reale Bedrohung

Vielen Dank für die mühe die du dir gemacht hast :D jetz weiss ich endich das Android im Moment noch sehr sicher ist :D

Sent from my X10i using Tapatalk

1.
Ich denke auch, dass das Risiko für den 0815 Anwender (nur weit verbreitete Apps mit vielen positiven Bewertungen aus dem Market verwenden, keine SU Rechte, USB Debug Mode ausgeschaltet) derzeit noch relativ gering ist. Allerdings gehöre ich nicht zu diesen Usern und viele andere, die sich hier im Forum herumtreiben, auch nicht.

2.
Was ich nicht so gut finde ist, dass der Beitrag wie eine Art Werbung für Android geschrieben ist und dadurch gewisse Zweifel an der Neutralität des Verfassers entstehen. Beispiel: "Google sammelt Daten, um attraktive und konkurrenzlose Dienste anbieten zu können." sowie "Herstellern von Firewalls und Antivirenprogrammenkann darf man unterstellen, dass sie mit der Unkenntnis, der Unsicherheit und den schlechten Erfahrungen der User gute Geschäfte machen wollen, ohne sich wirklich Gedanken zu machen, wie ein an und für sich sicheres System optimiert werden kann."

3.
Der Beitrag weist darauf hin, dass man Google und App Developern aus dem Markt eben VERTRAUEN muss, dass sie - wegen der damit verbundenen Konsequenzen und dem Prestigeverlust - schon nichts Schlimmes machen werden. (Den Herstellern von AVs und Firewalls werden hingegen eher böse Absichten unterstellt.). Ich meine, man sollte - falls möglich - niemand vertrauen (und schon gar nicht App Developern aus Staaten, in denen keine effektive Strafverfolgung der Developer möglichst ist bzw. effektiv stattfindet). Und ich meine, dass Kontrolle besser als Vertrauen ist. Leider gibt es für Android NOCH nicht viele Apps mit denen eine Kontrolle wie beim PC (Systemfirewall, port- und adressgenaue Firewall) möglich ist.

4.
Android ist ein sehr junges System. Vieles ist quasi noch im Beta Stadium. Mit der rasant zunehmenden Verbreitung des Systems steigt das Risiko, dass die sich im Markt befindlichen Apps, die nicht geprüft werden, irgendwann auch einmal etwas Schlimmes tun. Erst nachdem der Schaden bei vielen eingetreten ist, kann/wird Google die Apps löschen. Es gab für Android sogar schon rogue apps, die Bankdaten phishen ( http://www.firsttechcu.com/home/secu...ity_fraud.html, siehe ganz unten).

5.
Es ist besteht derzeit die Besorgnis, dass der Remotezugriff auf Smartphones, den sich Google einräumt, durch sog. man-in-the-middle Angriffe missbraucht werden kann, so dass ein Angreifer nach Gutdünken Apps auf dem Smartphone löschen und - noch wichtiger - bösartige Apps auf dem Smartphone installieren kann. Da ständig in allen wichtigen Betriebssystemen gravierende Sicherheitslücken gefunden werden, gefällt es mir nicht, darauf vertrauen zu müssen, dass der Google Remote Zugriff ausnahmsweise sicher ist.

6.
Es ist richtig, dass Apps angeben, welche Permissions sie verwenden. Allerdings verwenden fast alle Apps kritische Permissions und dadurch wird die ganze Sache im Grunde nutzlos. Man muss sich daher vorab entscheiden, ob man einer App vertraut und sie installieren will. Wieder hängt also alles am VERTRAUEN. Besser wäre es, wenn es eine Systemfirewall geben würde, mit der man Apps individuell eine Permission erlauben oder verneinen kann. Bis dahin hilft nur ein sehr umständliches manuelle Modifizieren von Apps, was möglicherweise sogar rechtlich problematisch ist: http://intrepidusgroup.com/insight/2...k-permissions/ Ich habe die Sorge, dass es auch in zukünftigen Android Versionen keine (System-)firewall geben wird, damit die Lobby der werbefinanzierten App Developer nicht verprellt wird.

7.
Ich habe mir noch keine abschliessende Meinung dazu gebildet, ob der Screenlock eines Phones wirklich sicher ist. Hierzu würde ich gerne weitere Meinungen hören. Kann man ein Phone mit Secret Codes booten und dadurch irgendwie einen Flash ermöglichen, nach welchem die Daten auf der internen SD dann trotzdem wieder freiliegen? Ich meine, dass zumindest einigen Phones hier schon Lücken nachgewiesen wurden (Beispiel: http://www.geekword.net/security-fla...ock-mechanism/ ). Ausserdem darf man natürlich keine Fingerabdrücke hinterlassen ( http://www.intomobile.com/2010/02/17...rds-dont-work/ ; )

8.
Wenn Android sich im business Segment durchsetzen soll, müsste es IMHO eine richtige on-the-fly Verschlüsselungslösung für die auf dem Smartphone befindlichen Daten geben.

@Tiz

Im Grunde genommen, sind wir uns einig, nur betrachten wir es mit unterschiedlicher Optik. Du sehr skeptisch aus der Unternehmenssicht, ich vorsichtig wohlwollend aus Usersicht.

Von den momenatan ca. 160'000 neuen Androidusern pro Tag, werden sicher mehr als 95% das Smartpohone unmodifiziert verwenden. Die sind froh, eine grosse Flexibilität bei der Gestaltung der Benutzeroberfläche zu haben, werden sich in den ersten paar Wochen einige Apps anschauen und dann zu einer für ihre Bedürfnisse 'normalen' Nutzung übergehen. Und die haben ein sicheres System.

Anmerkungen zu deinem Punkt 2:

Als Beispiel für einen attraktiven und konkurrenzlosen Dienst möchte ich hier Goolge Navigation erwähnen. Mit diesem Dienst haben alle User kostenlos Zugriff auf Satellitenbilder, Karten und Streetview Fotos, Berechnungen der Route von A nach B mit (verbesserungswürdigen) Fahranweisungen.

Klar kann man das nur mit guter mobiler Verbindung nutzen, heute im Roaming noch ziemlich teuer, aber das wird bald kein Thema mehr sein. Mobile Kommunikation wird in den nächsten Monaten und Jahren dieselbe Entwicklung (auch preislich) durchlaufen, wie wir sie von der drahtgebundenen Vernetzung her kennen, nur viel schneller. Da haben wir vor 15 Jahren mal mit Modems und 33'600 Baud angefangen im Internet zu surfen, heute kann jeder 20'000 Mbps DSL günstiger bekommen als die DialUp Technologie von damals.

Und zu der Unterstellung an die Adresse der Antiviren Hersteller:

Ich hab ja geschrieben, 'Ausnahmen bestätigen die Regel', und da möchte ich als Ausnahme Norton erwähnen. Wenn man sich ihre 'Norton Smartphone Security' Lösung ansieht, merkt man, dass es nicht um AntiVirus und Firewall Protection geht, sondern um Diebstahlsicherung und Bedrohungsschutz. Und das kann für den einen oder anderen User wichtig sein. Die Gefahren von Viren und Würmern, wie wir sie aus der Windows-Welt kennen, sind in der Android Umbegung kein Thema.

Ergo: Android Systeme sind für den Normaluser sicher und unbedenklich, der Verlust des Handies etwa genauso lästig wie der Verlust der Brieftasche, und wenn sich Geheimdienste für den Inhalt deines Handies interessieren, werden sie den auch lesen können :-)

Hier ein weiteres Beispiel:

http://www.areamobile.de/news/16046-...en-passwoerter

"Die auf mobile Sicherheit spezialisierte Firma Lookout hat ... vor Android-Apps gewarnt, die persönliche Daten des Anwenders ausspionieren. Als Beispiel nannte sie verschiedene Anwendungen des Entwicklers Jackeey. Vordergründig stellen sie dem Nutzer Hintergrundbilder für sein Handy zur Verfügung ... Im Hintergrund liest sie aber den Browser-Verlauf aus, Textnachrichten, SIM-Kartennummer, Anwenderidentifikationen und sogar das Passwort der Voicemail."

IMHO wird da noch viel mehr kommen. Eine komfortabel bedienbare Firewall für Android wäre daher mehr als sinnvoll.

Dieses Vorkommnis* zeigt, dass bei der Nutzung eines Internet Smartphones ein Restrisiko besteht. Ein Ausspionieren dieser Art kann man aber nicht als eine Android Schwäche abtun. So ein Programm kann auch auf einem iOS System laufen, ganz zu schweigen von den unzähligen PC's, die solche Programme hosten.

Da wir hier im Sicherheits-Thread sind die Frage, wie kann man sich gegen so etwas schützen? Die von Tiz angeregte 'komfortabel zu bedienende Firewall' wäre ein Ansatz, in der Praxis jedoch nicht wirklich benutzerfreundlich.

Wir als User möchten ja, dass uns das Programm mitteilt, wenn eine neue Version verfügbar ist, selbst wenn es sich um ein Wallpaper oder sowas Banales handelt. Wenn wir nun mit einer Firewall für jede Applikation die Berechtigungen eingeben, wird das ziemlich kompliziert. Je restriktiver die Einstellungen generell sind, desto schlechter laufen die Applikationen.

Für solche Probleme gibt es keine gute Lösung, es zeigt jedoch auf, dass eine gute Passwortverwaltung sinnvoll ist, d.h. nicht für alles das gleiche Passwort nutzen, und diese regelmässig wechseln. Und das wird nicht gemacht, so gesehen sind wir als Humanoiden das grösste Sicherheitsrisiko für unsere Androiden ;)

Dass 'nur' das Passwort der VoiceMail ausgespäht wurde, zeigt, dass es auch für perfide Programmierer nicht so einfach ist, auf die vom System gespeicherten Passwörter (z.b. das des Google-Accounts) zuzugreifen ...

* siehe separaten Thread dazu

http://www.heise.de/newsticker/meldu...e-1047796.html <-- jedes system ist betroffen :)

ich würde sagen schaut euch die bewertungen der apps an und seit auch bisschen aufmerksam :)

"jedes System ist betroffen"

Nur weil andere Systeme Probleme haben (und vielleicht sogar noch viel schlimmer oder schlechter sind als unser System), besteht kein Grund zu glauben, dass einem mit Android nichts passieren kann.


"ich würde sagen schaut euch die bewertungen der apps an und seit auch bisschen aufmerksam"

Im Artikel stand, dass eine "populäre App, die millionenfach aus dem Android-Market heruntergeladen wurde, persönliche Daten an unbekannte Dritte" gesendet hat. Vermutlich hatte die auch eine gute Bewertung.

kann sein, aber es gibt massenhafte kleine apps mit lauter negativen bewertungern dass anmeldungen nicht gehen und so... diese könnten ja auch lediglich phishing apps sein oder?

Wie das Beispiel zeigt, besteht bei der Nutzung von Internet Smartphones immer ein Restrisiko. Aus meiner Sicht muss man mit diesem Risiko leben, wenn man die Annehmlichkeiten des Systems nutzen will.

Ich frag mich in so einem Fall nach dem 'worst case szenario', also welchen Schaden hätte das Programm in meinem Fall angerichtet:

- Browser-Verlauf ausspähen: Für mich kein Problem, den sehen andere auch (Google, MS, mein Chef, IT-Mitarbeiter, mein Provider ...)
- Textnachrichten lesen: Ich denke, meine dürften einen Chinesen (oder Amerikaner, Russen u.s.w.) nicht interessieren
- SIM-Kartennummer: Da bin ich unsicher, was kann ein gewiefter Hacker damit anfangen, auf meine Rechnung telefonieren?
- Voicemail-Passwort: Kein Problem, damit kann niemand wirklich was anfangen, das Passwort wäre mittlerweile wieder geändert.

Wie in einem früheren Post erwähnt, wäre das Ausspionieren des Google-Account Passwortes tragischer, da damit im Market eingekauft werden kann und mir dadurch ein materieller Schaden entstehen würde. Aber ich gehe davon aus, dass das genügend geschützt ist und nicht von einem beliebeigen Programm abgefragt werden kann. Programme wie Appbrain, die mit dem Google Account arbeiten, leiten für die Authentifizierung auf die Google Seite weiter, Google verifiziert das Passwort selber und gibt Appbrain nur ein OK durch.

Die wirklich wichtigen Dinge im System scheinen also gut gesichert zu sein ...

Edit 23:30:

In der Zwischenzeit wurde die Mitteilung von Lookout korrigiert:

Zitat:

---

Update: Lookout notes it does not capture browsing history and text messages. It collects your phone number, subscriber identification, and even your voicemail password, as long as it is programmed automatically into your phone.

---

Die Wallpaper Applikation hat also keinen Zugriff auf den Browserverlauf und die SMS Datenbank gehabt, sondern konnte nur SIM Informationen weiterleiten, weil sie die Berechtigung für 'phone calls' missbräuchlich genutzt hat.

Dafür wird es jetzt bald richtig spassig...das erste Android Rootkit ist da :rolleyes:

http://www.heise.de/newsticker/meldu...t-1049075.html

Zitat:

---

Zitat von Tiz

Dafür wird es jetzt bald richtig spassig...das erste Android Rootkit ist da :rolleyes:

http://www.heise.de/newsticker/meldu...t-1049075.html

---

Ist sicher sehr gefährlich für Leute, die ein gerootetes Handy haben, die mit einem modifizierten Kernel arbeiten und regelmässig Custom ROMs flashen. Einmal mehr, die Gefahr ist für normale User ohne Adminrechte, die mit Originalsoftware arbeiten und sehr selektiv Applikationen aus dem Market laden, sehr gering.

In der Zwischenzeit ist der erste Trojaner auf Android Smartphnes entdeckt worden, der teure SMS auf entsprechende Seiten verschickt, und so einem User einen grossen finanziellen Schaden bereiten kann.

Wichtig auch hier:

Zitat:

---

Der Trojaner verbreitet sich ausschließlich mit Hilfe sozialer Maßnahmen. Er wird unbedarften Android-Besitzern als Mediaplayer schmackhaft gemacht. Da die Software nicht im Android Market angeboten wird, muss man die Datei manuell auf das Smartphone kopieren. Zum Ausführen muss man zudem noch einen Sicherheitsmechanismus von Android deaktivieren, der vor Nicht-Market-Apps schützen soll.

---

Hier geht's zum Thread zu diesem Trojaner

Hier ein Beispiel für Sicherheitslücken, die es ermöglich(t)en auch bei vorsichtigen Nutzern Malware auf dem Palm Pre zu installieren bzw. bei allen Verwendern des Android Standardbrowsers Spionage zu betreiben:

http://www.heise.de/security/meldung...t-1058720.html

Im c't 2010-20, das am 13.09.2010 am Kiosk erscheint, gibt es zwei Artikel zum Thema "Smartphone Sicherheit".

Zusammenfassend wird festgehalten:

Zitat:

---

Alles das, was an Gefahren bereits auf dem Desktop-PC droht, findet langsam seinen Weg in die mobile Welt. Weil Smartphones für viele Besitzer mittlerweile zu einer Kommunikationszentrale geworden sind, immer "am Mann" sind und zudem mehr "Peripherie" mitbringen, die sich gegen den Anwender richten kann (GPS, Mikrofon), wird das Problem um einiges dramatischer. Dabei scheint das iPhone derzeit besser wegzukommen - was unter anderem an der verdongelten Plattform und dem restriktiven App Store liegt. Vermutlich dürfte es für Kriminelle derzeit zu riskant sein, Malware in den App Store zu schleusen, Anwender anzulocken und zu hoffen, dass die betrügerischen Machenschaften längere Zeit nicht auffliegen - denn nur so wird ein lohnendes Geschäftsmodell daraus. Zwar kann auch Google über den Market installierte Apps wieder zurückziehen, doch sind die Zugangshürden für Entwickler erheblich niedriger und eingestellte Anwendungen werden kaum kontrolliert. Zudem können Apps aus anderen Quellen auf ein Android-Gerät gelangen. Noch sind wir von einer epidemischen Malware-Verbreitung wie unter Windows weit entfernt, daher sind Virenscanner für Smartphones weiterhin unnötig - obwohl die Antivirenhersteller uns weiterhin vom Gegenteil überzeugen wollen. Und ob sich Virenscanner vernünftig ins System integrieren, ist ohnehin fraglich.

Während vor der Installation dubioser Apps bislang noch das Einschalten des Gehirns und im Zweifel der Abbruch des Vorgangs hilft, können ein paar einfache Handgriffe die Sicherheit der Geräte gegen fremde Zugriffe schützen. Ein paar davon finden sie in den Kästen für iPhone und Android. Welche Apps man aus Sicherheitsgründen am besten nicht zur Kommunikation in WLANs verwenden sollte, verrät zudem der Artikel ab Seite 86.

---

Im zweiten Artikel werden dann in einem Testaufbau 20 Android und 15 iPhone Apps und Systemkomponenten unter die Lupe genommen. Es wird getestet, ob die Logindaten bei verschiedenen Services verschlüsselt übertragen, Zertifikate richtig geprüft, und Daten grundsätzlich verschlüsselt übertragen werden. So können Aussagen gemacht werden, welche Services bedenkenlos über ein offenes WLAN verwendet werden können und wie gut sie gegen einen MITM (man in the middle) Angriff geschützt sind.

Zitat:

---

Insgesamt kann man feststellen, dass die Sicherheitsarchitektur des iPhones einem Angreifer nach einem Einbruch mehr Spielraum zur weiteren Kompromittierung des Geräts gibt. Der Einbruch an sich wird durch den Einsatz von XN und Code-Signatur stark erschwert. Bei Android sieht es genau anders herum aus. Das Einbrechen ist relativ einfach, sobald eine Schwachstelle in einer Systembibliothek gefunden ist. Das Auslesen von Benutzerdaten oder weitere Manipulationen sind allerdings kaum möglich, wenn die angegriffene App nur über wenige Zugriffsrechte verfügt - oder der Angreifer hat eine weitere Schwachstelle in der Hinterhand, um aus der Sandbox auszubrechen. Trotz aller Hürden zeichnet sich derzeit ab, dass Android bereits weiter in den Fokus Krimineller gerückt ist als das iPhone. Dabei nutzen die Autoren von Malware so gut wie nie Sicherheitslücken aus und verlassen sich vielmehr auf die Mithilfe des Anwenders, dubiose Apps zu installieren. Und genau hier wird die größere Offenheit von Android für viele Anwender zum Risiko.

---

In den Artikeln werden viele Sicherheitstipps für iPhone- und Android-User gegeben, für alle, die sich mit dem Thema Sicherheit auseinandersetzen wollen also äusserst lesenswert ...

Und hier noch der Link zur Seite von c't

Wer generell eine verschlüsselte Internet Verbindung nutzen möchte, kann dies mit einer VPN Verbindung zu einem eigenen Server zu Hause oder zu einem entsprechendem Service realisieren.

Wie das geht, erklärt der Artikel "Fernweh" von c't

Also erstmal Danke für den Sicherheits-Thread.
Als sicherheitsbewußter Anwender suche ich eine Webseite, die nichts anderes anzeigt außer Security-Alerts zu Android bzw. zu Apps. So eine Art Heise Newsticker ausschließlich für die Android-Sicherheit. Gibt es sowas? Gerne auch auf Englisch oder in anderen Sprachen...

kannst ja ein blog gründen :)

das problem ist eifnach am anfang, dass du mit den news nachinkst

Mit der Firewall-App DroidWall (benötigt allerdings Root) lassen sich immerhin Apps vom Internet abkoppeln: http://code.google.com/p/droidwall/

Gemäss einem Bericht von Lookout Mobile Security ist ein neuer Trojaner in Umlauf gebracht worden, der vererst nur über chinesische App Stores verbreitet wird. Betroffen sind unter anderen die Apps 'Monkey Jump 2', 'Sex Positions', 'President vs. Aliens', 'City Defense' und 'Baseball Superstars 2010'.

Dieser Trojaner soll folgende Aktionen durchführen können:

- Senden von Standort Koordinaten
- Senden von Geräte Identfikation (IMEI and IMSI)
- Download und Installation einer App (User muss sie bewilligen)
- Deinstallation einer App (User muss sie bewilligen)
- Sendet Liste der installierten Apps an einen Server

Wie bereits im Eingangspost erwähnt:

Zitat:

---

Beim gegenwärtigen Stand des Wissens (Juli 2010) sind Firewall und Antivirenprogramme nicht nötig, wenn ein User sein Smartphone mit dem Original-ROM des Herstellers betreibt, dieses nicht modifiziert hat und nur Applikationen aus dem Market installiert, die eine hohe Anzahl Downloads ausweisen können.

---

Dies gilt nach wie vor. Wer in den Einstellungen unter 'Anwendungen' 'Unbekannte Herkunft' nicht angehakt hat, kann sich keine Applikationen installieren, die nicht über den offiziellen Market verteilt werden und reduziert das Risiko massiv, einen solchen Trojaner einzufangen ...

Googles Einfluss auf Android-Handys

Nach Erkenntnissen des Sicherheitsexperten Jon Oberheide erlaubt das Smartphone-Betriebssystem Android noch weiter reichende Eingriffe des Systemherstellers, als die mit der Möglichkeit zum ungefragten Löschen installierter Apps schon bekannt war. Demnach unterhalten Android-Geräte über den Dienst GTalkService eine permanente Verbindung zu Googles GTalk-Servern, um von dort ausgestrahlte Push-Meldungen zu empfangen und verarbeiten.

Auf diesem Nachrichtenkanal kann Google – so Oberheide – nicht nur Aufrufe der Funktion REMOVE_ASSET verschicken, die dann ohne Anwendermitwirkung eine App vom Gerät löschen, sondern auch ungefragt die Funktion INSTALL_ASSET anstoßen, die dann autonom ein neues Stück Software auf dem Gerät einrichtet.

Oberheide sieht in der Möglichkeit, ein Systemanbieter könnte ihm ungenehme Anwendungen auf den Geräten der Kundschaft löschen, noch nicht einmal das größte Risiko. Immerhin hat Google diese Gelegenheiten bisher ausschließlich genutzt. um Demo-Programme mit Exploits von Sicherheitslücken aus dem Verkehr zu ziehen. Apple hat offenbar vergleichbare Möglichkeiten zum "Putzen" von iPhones, davon aber anscheinend bislang noch keinen Gebrauch gemacht.

Sollte es indes einem Angreifer gelingen, sich als Man-in-the-Middle in besagte GTalk-Verbindungen von Android-Phones einzuklinken, könnte er durch das heimliche Aufspielen von Malware einen erheblichen Schaden verursachen, erklärt Oberheide.

Insofern stellt sich die Situation bei Android-Smartphones mit einem theoretischen Malware-Risiko durch die vorgesehenen Systemverbindungen genau andersherum dar wie bei Apples iPhones. Dort sind bereits real kursierende Internet-Würmer bekannt, die allerdings nicht durch die serienmäßigen Connections des iPhone-OS zum Zuge kamen, sondern im Gegenteil durch Anwenderaktivitäten nach einem sogenannten Jailbreak, also dem von Apple unerwünschten Aufweichen dieser Serververbindung. Eine Sicherheitslücke, iPhones von außen per SMS anzugreifen, hat Apple nach dem Bekanntwerden zügig unterbunden.

Google löscht Android-App auf Smartphones aus der Ferne

Erstmals hat Google von der Möglichkeit Gebrauch gemacht, über die in Android implementierte Sicherheitsfunktion "Remote Application Removal" Apps auf Smartphones von Anwendern zu löschen. Konkret handelte es sich um zwei Anwendungen von Sicherheitsforschern von TippingPoint, die die Apps in Umlauf gebracht hatten, um zu zeigen, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones und per Jailbreak modifizierten iPhones bringen lässt.


Die Forscher hatten die Anwendungen zwar bereits aus dem Android Market entfernt, offenbar hatten aber immer noch einige Anwender die Apps installiert, weshalb sich Google nun veranlasst sah, diese aus der Ferne zu löschen. Anwender erhalten in solchen Fällen eine Benachrichtigung. Google weist aber darauf hin, dass die nun entfernten Anwendungen keinen Schaden angerichtet haben und dafür auch nicht entwickelt wurden.

Auch andere Anbieter mobiler Geräte halten sich die Option für die Fernlöschung offen oder haben sie bereits angewendet. Amazon hatte Mitte 2009 die Kindle-eBooks "1984" und "Animal Farm" des britischen Schriftstellers George Orwell gelöscht, weil der Vermarkter die Lizenzrechte nicht besaß. Nach einem Sturm der Entrüstung beteuerte Amazon, dass das Unternehmen künftig auf solche Löschungen verzichten werde. Auch Apple hat beim iPhone die Möglichkeit, installierte Anwendungen nachträglich zu löschen, hat diese aber bislang noch nie genutzt.

Trojaner bedroht Android Smartphones

Ein Trojaner namens Geinimi bedroht Android-Geräte wie Samsung Galaxy S und HTC Desire HD. Dies sei die bislang fortschrittlichste und damit gefährlichste Bedrohung für mobile Endgeräte mit Google-Betriebssystem, so das auf Internet-Sicherheit spezialisierte Unternehmen Lookout Mobile Security.

Der Trojaner sei in der Lage persönliche Daten des Nutzers sowie die eindeutige ID des Smartphones zu sammeln und an Hacker weiter zu geben, ebenso eine Liste aller installierter Anwendungen. Geimini kann außerdem neue Apps installieren oder löschen, braucht dazu aber die Zustimmung des Nutzers und fordert Berechtigungen ein, die weit über das Nötige hinaus gehen.

Die Verbreitung des Trojaners erfolge dadurch, dass er sich an offizielle Software anhängt, so Lookout. Vor allem Spiele seien betroffen, wie beispielsweise Monkey Jump 2, President vs. Aliens, City Defense und Baseball Superstar.

Sorgen muss sich derzeit aber nur machen, wer die Software nicht aus dem offiziellen Android Market von Google bezieht. Zudem wurde Geimini bis jetzt nur in China lokalisiert.

Quelle --> http://www.supportnet.de/newsthread/2359139

Neue '2-step verification' beim Google Account soll für mehr Sicherheit sorgen (für Schweizer noch nicht in Betrieb):

http://www.20min.ch/digital/dossier/...ellen-27457400


Was beim Online-Banking funktioniert, soll auch Besitzer eines Google-Kontos besser schützen. Selbst wenn einem das Passwort gestohlen wird, haben Kriminelle angeblich keine Chance.

Google-Accounts sind begehrt bei Hackern und Spammern. Wer das Passwort knackt, hat Zugriff auf persönliche Daten, Adressen, E-Mails und Dokumente. Neu kann man sich damit auch in die Webversion des Android Markets einloggen. Angreifern bietet sich so die Gelegenheit, auf dem Smartphone oder Tablet-Computer des betroffenen Users teure Apps installieren – ohne dessen Wissen. Theoretisch wäre es so auch möglich, auf fremden Geräten Schadsoftware zu installieren. Doch müssten die besagten «Schädlinge» natürlich unbemerkt das Prüfverfahren für die Zulassung zum Android Market durchlaufen haben.

Nun hat Google die Sicherheitsvorkehrungen aus User-Sicht massiv verbessert, wie das Unternehmen kürzlich über den offiziellen Google-Blog mitteilte. Beim Anmeldevorgang für den Google-Account ist eine zusätzliche Sicherheitsstufe eingeführt worden.

Als Ergänzung zum gewohnten Einloggen mit Benutzernamen (E-Mail-Adresse) und Passwort wird der User aufgefordert, einen Sicherheitscode einzutippen. Diese sechstellige Zahl wird einem vorgängig per SMS geschickt – sie kann aber auch mit einer entsprechenden App auf dem Smartphone generiert werden. Eine vergleichbare Sicherheitsfunktion ist vom Online-Banking her bekannt. Will sich ein Hacker trotzdem Zugang zum Konto verschaffen, muss er nicht nur das Passwort herausfinden, sondern auch das mobile Gerät verfügbar haben.

Auf später vertröstet

Die sogenannte «2-step verification» wird vorerst auf freiwilliger Basis eingeführt. Die neue Sicherheitsfunktion könne in den nächsten Tagen über die Persönlichen Einstellungen im Google-Account eingerichtet werden, heisst es im Google-Blog. Schweizer Usern steht die neue Funktion allerdings noch nicht zur Verfügung. Zwar ist der Link bereits vorhanden, wer ihn anklickt, wird aber auf einen späteren Zeitpunkt vertröstet. 20 Minuten Online hat bei Google Schweiz wegen dem genauen Zeitpunkt nachgefragt: «Wir sind gerade daran, dass Programm internationl auszurollen. Es kann deshalb gut sein, dass einige Nutzer die Funktion noch nicht sehen können», heisst es.

Gemäss Google-Blog kann die neue Sicherheitsfunktion über einen benutzerfreundlichen Assistenten eingerichtet werden. Für das Einrichten seien rund 15 Minuten erforderlich. Unter anderem soll man auch die Telefonnummer eines Backup-Gerätes anzugeben – für den Fall, dass das eigentliche Hauptgerät verloren geht oder nicht zur Verfügung steht. Wenn einem das Eintippen des Sicherheitscodes lästig wird, kann man die Funktion mit einer 30-Tage-Erinnern-Funktion vorübergehend ausschalten. Und schliesslich gibt es auch noch eine einfachere Variante für Geräte, die nicht auf einen Webbrowser zugreifen können.

Um die Sicherheitscodes auf dem Smartphone zu generieren, kann der «Google Authenticator» im Android Market heruntergeladen werden. Diese App steht nicht nur für Android-Smartphones, sondern auch für iPhones und Blackberrys zur Verfügung.

Die Nutzer der Google-App könnten die zusätzliche Sicherheitsfunktion übrigens schon länger kennen.

Wie jetzt bekannt wurde, ist es einem Programmierer mit Hilfe von Trittbrettfahrern gelungen, Programme in Umlauf zu bringen, die eine Sicherheitslücke im Betriebssystem ausnutzten und ihm ermöglichen, unerlaubten Zugriff auf das System zu bekommen. In diesem Thread findet ihr Details dazu, eine kurze Zusammenfassung findet sich hier.

Dass es mittlerweile 50 Programme sind, die mit dem Hackercode in Umlauf sind, ist nicht erstaunlich, das Verbreitungsmuster ist hinlänglich bekannt:

Ein cleverer Programmierer findet empirisch eine Lücke im Betriebssystem. Der Coole meldet den Fehler und freut sich, besser zu sein als die hochbezahlten Experten von Google und Co. Der Destruktive überlegt sich, wie er daraus Nutzen ziehen oder damit Schaden anrichten kann, schreibt einen Hackercode und stellt diesen ins Internet. Jetzt kommen die verschüpften Bubis und Profilneurotiker ins Spiel, die gerade eine schwierige Kindheit durchmachen oder hinter sich haben und integrieren den Code in eine Game-App, eine App zum Downloaden von erotischen Bildchen, einen Task Killer, einen Datei Manager u.s.w. und schon gibt es zig Varianten desselben Schädlings.

Offensichtlich scheint es aber möglich zu sein, ähnliche Programme ausfindig zu machen, wenn eines davon entdeckt wurde.

Für Leute, die ihr System sauber halten wollen, wäre als zusätzliches Sicherheitskriterium empfehlenswert, nur Programme zu installieren die mindestens drei Monate auf dem Markt sind. Das lässt findigen Leuten genügend Zeit, neue Programme als Schadprogramme zu erkennen und deren Verbreitung zu verhindern ...

Ein sehr interessanter Thread,

er sollte nicht "abtauchen".

Hier was aktuelles zu diesem Thema:

Zitat:

---

Android and Security
Thursday, February 2, 2012 | 12:03 PM
By Hiroshi Lockheimer, VP of Engineering, Android

The last year has been a phenomenal one for the Android ecosystem. Device activations grew 250% year-on-year, and the total number of app downloads from Android Market topped 11 billion. As the platform continues to grow, we’re focused on bringing you the best new features and innovations - including in security.

Adding a new layer to Android security
Today we’re revealing a service we’ve developed, codenamed Bouncer, which provides automated scanning of Android Market for potentially malicious software without disrupting the user experience of Android Market or requiring developers to go through an application approval process.

The service performs a set of analyses on new applications, applications already in Android Market, and developer accounts. Here’s how it works: once an application is uploaded, the service immediately starts analyzing it for known malware, spyware and trojans. It also looks for behaviors that indicate an application might be misbehaving, and compares it against previously analyzed apps to detect possible red flags. We actually run every application on Google’s cloud infrastructure and simulate how it will run on an Android device to look for hidden, malicious behavior. We also analyze new developer accounts to help prevent malicious and repeat-offending developers from coming back.

Android malware downloads are decreasing
The service has been looking for malicious apps in Market for a while now, and between the first and second halves of 2011, we saw a 40% decrease in the number of potentially-malicious downloads from Android Market. This drop occurred at the same time that companies who market and sell anti-malware and security software have been reporting that malicious applications are on the rise. While it’s not possible to prevent bad people from building malware, the most important measurement is whether those bad applications are being installed from Android Market - and we know the rate is declining significantly.

Android makes malware less potent
In addition to using new services to help prevent malware, we designed Android from the beginning to make mobile malware less disruptive. In the PC model, malware has more potential to misuse your information. We learned from this approach, designing Android for Internet-connected devices. Some of Android’s core security features are:
Sandboxing: The Android platform uses a technique called “sandboxing” to put virtual walls between applications and other software on the device. So, if you download a malicious application, it can't access data on other parts of your phone and its potential harm is drastically limited.
Permissions: Android provides a permission system to help you understand the capabilities of the apps you install, and manage your own preferences. That way, if you see a game unnecessarily requests permission to send SMS, for example, you don’t need to install it.
Malware removal: Android is designed to prevent malware from modifying the platform or hiding from you, so it can be easily removed if your device is affected. Android Market also has the capability of remotely removing malware from your phone or tablet, if required.
No security approach is foolproof, and added scrutiny can often lead to important improvements. Our systems are getting better at detecting and eliminating malware every day, and we continue to invite the community to work with us to keep Android safe.

---

LINK

Mich würde mal eine sache Intressieren!

Ich höre von guten Freundend das bis jetzt noch nie ein Androit User betroffen war was Trojaner und co angeht!
Und hier behaupten auch die meisten das es Relative sicher ist!

Aber dann kann ich nicht verstehen das ich auf verschiedene seiten (Heisse, ZD.net, Handelsblatt.....) immer wieder lese das es Trojaner , Spyware und co auf Androit gibt! Teilweise sogar im Market da Androit sich im gegensatz zu IOS und WP7 die Apps nicht einzeln kontrolliert!

Also frage ich mich was stimmt den nun! Ist Androit so sicher wie hier behauptet oder haben die Magazine recht!?!?^^

Es gibt schon böse Sachen Für Android.
Nur ist man, wenn man genau schaut was man sich auf Sein Gerät drauf macht und vor allen woher es kommt, schon Relativ Sicher.
Z,b Du Siehst ein App was sehr beliebt ist und normalerweise Kostet es etwas, auf ein mal Umsonst. Dann ist auch noch der Vertreiber anders. Da sollte man schon hellhörig werden.

Da die Android Community sehr Groß ist und Neben den Freaks auch so Viele User mit IT wissen hat Sind die Trojaner und Co Apps nicht lange da.
Schau dir doch mal die OS der anderen an. Meist starr und kaum veränderbar, das ist ja genau richtig für Leute die Ihr Handy nur einfach Benutzen wollen und den was Unterzuschieben ist doch wesentlich einfacher als den Android Jüngern, die Jedes Neue App erst mal Zerlegen und auf Rechte Überprüfen ;-)

Was die Kontrolle angeht, da Tut sich schon einiges im Android Market, siehe die News hier:
http://www.golem.de/news/bouncer-goo...202-89541.html

"Vor einem Jahr habe es für mobile Betriebssysteme 89 neue Schädlinge gegeben, jetzt liege die Zahl bei 1.500", 95 Prozent aller Schädlinge haben Android im Visier.":
http://www.zeit.de/digital/mobil/201...one-sicherheit



Sehr interessanter AV-TEST von 41 Virenscanner für Android:
http://www.av-test.org/tests/android



Und bei F-Secure:
http://www.f-secure.com/weblog/archives/00002324.html

Hallo miteinander,
für meinen Abschluss schreibe ich gerade an einer Arbeit in der es um die Computersicherheit geht. Darin möchte ich auch auf die mobilen Betriebssysteme eingehen. Es wurde ja schon einiges hier im Forum bezüglich der Sicherheit von Android geschrieben (ich habe bereits auch meine Meinung hier mehrere Male vertreten), aber hat jemand einige gute und verlässliche Quellen von denen ich mir noch zuätzliche Informationen holen und daraus zitieren könnte? Und bitte keine Berichte, Meinungen von Anti-Virus Herstellern ;)

mfg
fuxä

Denke "eine gute und verlässliche Quelle":

http://www.heise.de/newsticker/meldu...t-1446758.html

und:

http://www.golem.de/1106/84213.html

Ein sehr interessanter und informativer Thread. Er bestätigt doch wieder, dass es in Situationen, in den Gefahr droht, keine noch so gute Software den GMV (gesunden Menschen Verstand ) ersetzen kann. Solange Brain 1.0 durch "Geiz ist geil" und übertriebener "Haben muß" Mentalität aus geschaltet werden kann, helfen weder Antivieren, Firewallprogramme oder sonstige Schutzmechanismen.

Nur schade, dass dieses Verhalten immer dem Betriebssystem angelastet werden muss.

hat schon jemand erfahrungen mit der option "geräteverschlüsselung" in den einstellungen von ICS gemacht? bedeutet das ein on-the-fly verschlüsseln? wie performant ist es?

gibt es möglichkeiten seine kontaktdaten und adressdaten vor hungrigen apps zu verstecken, auch wenn sie die rechte besitzen!?
mein problem ist, dass fast jede zweite app die telefonstatisitiken lesen möchte. das sehe ich nicht ein, aber ich möchte auch mal ein paar apps ausprobieren.

cool wäre es eine vm auf android zu haben, in der die apps im sandkasten laufen.

Ja gibt es. Aber nur wenn du rootrechte hast, ansonsten klappt das nicht. Mit dem app lbe privacy guard kannst du für jedes app die gewünschten Berechtigungen wegnehmen.

gesendet von meinem Desire HD mit ICS

okay, danke :)

Ich habe die Geräte-Verschlüsselung bei mir aktiviert. Ich empfinde es so als ob das ganze System inkl Android verschlüsselt ist. Der Bootvorgang dauert deutlich länger und nach der Eingabe des Passwortes wird dieser noch fortgesetzt. Im Betrieb beobachte ich keine Performance-Einbußen (ist natürlich rein Subjektiv). Ob mit Verschlüsselung root (noch) funktioniert kann ich nicht sagen da ich dies bei mir noch nicht gemacht habe.

Gesendet von meinem Galaxy Nexus mit Tapatalk 2