Die Sicherheit von Android

By -

In letzter Zeit gab es ja immer wieder Meldung bezüglich der angeblich mangelnden Sicherheit von Android. Die aktuellsten Beispiele dürften das Entsperrungsmuster und GPS Spionage sein.
Da mich dieses Thema mittlerweile ziemlich interessiert habe ich mich damit beschäftigt und möchte meine Ergebnisse und Ansichten mitteilen.

Faktor Kommunikationspolitik
Zugegeben: Die Bedenken bezüglich der Sicherheitsmängel sind nicht ganz unberechtigt. Google ist ja dafür bekannt behobene Sicherheitslücken in Chrome bekannt zu geben. Bei Android ist man da eher schweigsam. Kürzlich wurde eine nicht ganz unbedeutende Sicherheitslücke in Froyo geschlossen. Dieser Fix wurde aber nicht so offen kommuniziert wie vergleichsbare behobene Probleme bei Chrome.
OpenSource und dieses weitestgehende Stillschweigen passt meiner Meinung nicht so recht zusammen. Dass durch dieses Verhalten bei dem ein oder anderen Bedenken geweckt werden ist daher verständlich. Auf der anderen Seite könnte man sich ja immer die aktuellsten commits anschauen, doch wer will das schon.

Faktor Zugriffrechte der Apps
App BerechtigungZuersteinmal gilt festzuhalten: Nach der Installation bekommt jede App eine eigene ID zugewiesen, die nicht veränderlich ist. Durch das Sandboxkonzept ist jede App daher ein eigener Benutzer, mit einem eigenem Prozess innerhalb einer eigenen Dalvik VM mit einem eigenen Bereich im Hauptspeicher und Dateisystem. Aus dieser geschlossenen Umgebung ist es nicht möglich, dass eine App das Android System beschädigen kann. Stürzt eine Anwendung ab, so wird das übrige System nicht dadurch beeinträchtigt.
Eine Anwendung hat keine besonderen Zugriffsrechte – root Rechte an sich schonmal gar nicht – außer denen, die vor der Installation angezeigt werden. Daher ist es sehr wichtig, dass man sich anschaut welche Rechte die App fordert und ob diese auch alle wirklich nötig sind. Root Rechte erlangt eine App nur dann, wenn man diese ausdrücklich bestätigt. Das ist in der Regel bei jedem Programmstart oder jeder Aktion, die diese Rechte benötigt der Fall, insofern man diese nicht dauerhaft gewährt.
Bei einem Spiel, das Berechtigung für das Auslesen der Kontakte fordert sollte man sich schon Gedanken machen. Allerdings muss man auch dagegenhalten, dass sich viele Entwickler über das Rechtekonzept beschweren. Daher kann es sein, dass Berechtigungen gefordert werden, die gar nicht gebraucht werden. Vorsicht ist also schon vor der Installation geboten.
Apps können Dateien anderer Apps nur lesen und/oder verändern, wenn diese entsprechende Flags enthalten. Grundsätzlich ist es erstmal nicht möglich, dass eine Anwendung Daten von einer anderen lesen oder verändern kann. Dadruch, dass die Apps getrennt laufen kann Schadcode, der durch den Mediaplayer ausgeführt wird, nicht auf das Adressbuch oder SMS zugreifen.
Bei ROMs mit Root gilt doppelte Vorsicht beim installieren der Apps. Nicht nur der Benutzer kann vollen Zugriff erlangen, sondern auch eventuelle Malware.
Es ist also sehr wichtig auf die Berechtigungen zu achten und genau zu überlegen. Ein Blick in die Market Kommentare hilft auch oft weiter.

Allgemeine Android Probleme
Jedes System hat Sicherheitslücken. Das betrifft alle Betriebssysteme. 100% Sicherheit gibt es einfach nicht. Sind die Sicherheitslücken Google bekannt, so kann man auch davon ausgehen das diese geschlossen werden. Doch kommen die Bugfixes auch bei dem Endbenutzer an? Das ist für Benutzer der Standard ROMs eher in Frage zu stellen.
Das Problem ist laut Charlie Miller, einem Sicherheitsexperten bei Independent Security Evaluators, dass Google zwar das Betriebssystem herstellt aber die einzelnen Smartphones nicht kontrolliert. Kontrolle ist jetzt nicht im Sinne von Überwachung gemeint. Google ist nicht dafür verantwortlich ob die Fixes letztenendes auch beim Endbenutzer ankommen. Wenn Google eine kritische Sicherheitslücke schließt, dann profitiert davon erstmal niemand. Zunächst werden sämtliche Mobilfunkpartner informiert, anschließend werden Lösungen getestet. Wenn alle beteiligten zufrieden sind verteilen die Provider die Updates auf die Smartphones. Dass es welche gibt, die sofort auf Probleme reagieren und andere die sie ignorieren liegt in der Natur des Menschen. In der Natur der Sache liegt ebenfalls, dass der oben beschriebene Prozess jede Menge Zeit in Anspruch nehmen kann.
Erschwerend hinzu kommt noch, dass es derzeit sehr viele verschiedene Android Versionen gibt. Je nach Unterschied des grundsätzlichen Systems muss der Patch für einige Versionen anders aussehen. Die älteren Android Versionen können dabei auf der Strecke bleiben.
Eine Meldung, die den meisten noch im Kopf sein dürfte bezieht sich auf die Entsperrmuster. Wird der Touchscreen eines Smartphones abfotografiert kann mittels einer Fotoanalyse der Fettfilm auf dem Display genau analysiert werden. In vielen Fällen ist es somit also möglich das Entsperrungsmuster zu ermitteln. Aber mal ganz ehrlich: Wer hätte gedacht, dass Finger spuren auf dem Display hinterlassen? Zusätzlich ist diese Variante nur mit viel Zeit und spezieller Software machbar. Für den Laien dürfte es also schwer sein das durchzuführen. Der Verlust des Smartphones ist aber dennoch schon der “worst case”. Für diesen Fall ist es ratsam eine der vielen Diebstahlschutz Apps zu installieren. Hier mal ein Link zu einem Testbereicht von F-Secure Anti Theft.

Persönliches Fazit
Abschließend möchte ich noch gerne ein persönliches Fazit ziehen.
Durch die Recherchen zum Thema Sicherheit und Android habe ich persönlich auch einige neue Eindrücke gewonnen auch wenn ein Großteil der Vorkehrungen mir schon bekannt war. Vielleicht ist der Inhalt des Beitrages für einige auch schon komplett bekannt. Doch ich wollte hiermit nur mal veranschaulichen, dass Android ein, meiner Meinung nach, sehr gutes Sicherheitskonzept hat. Klar, dem Benutzer wird sehr viel Verantwortung übertragen, da er entscheiden muss ob er die App mit den erforderlichen Rechten installieren möchte oder nicht. Auf der anderen Seite finde ich das gut so. Der Benutzer sollte nicht übermäßig bevormundet werden, indem einige Apps (vielleicht zu Unrecht) aus dem Market entfernt werden oder durch andere Methoden. Ein gutes Beispiel, dass Google mit dem Sicherheitskonzept sehr gut platziert ist zeigt doch die Diskussion um das remote Entfernen von Apps. Google hat vor einiger Zeit erstmals diesen Mechanismus benutzt um entfernt eine App von Smartphones zu deinstallieren. Der Aufschrei war verständlicherweise enorm. Das zeigt, meiner Ansicht nach aber, dass der Benutzer gar nicht bevormundet werden will. Im Prinzip ist das auch nicht nötig.
Es ist immer ein gewisser Sinn für Kritik gefragt, besonders beim Thema Sicherheit. Das gilt nicht nur für die Installation von Anwendungen auf Smartphones sondern auch am PC. Das Hauptproblem befindet sich dabei meistens vor dem Bildschirm. Auch sollte man Warnungen bezüglich Sicherheitslücken, die von Herstellern für Sicherheitssoftware ausgegeben werden, mit einer gewissen Skepsis gegenübertreten. Diese machen das auch nicht ganz uneigennützig.
Abschließend kann ich sagen: Ich finde Android hat ein gutes Sicherheitskonzept und man braucht keine größeren Bedenken bezüglich der Sicherheit des Smartphones vor Eindringlingen und Datendiebstahl zu haben.
Letztenendes kochen eben alle nur mit Wasser – ja auch Google.

Quellen:

Ich blogge seit mehreren Jahren hier auf TuxAndDroid.de über Android und Linux. Der Fokus liegt dabei auf interessanten Spielen und Apps. Ich studiere Wirtschaftsinformatik im Master an der Universität Koblenz.

2 Comments to Die Sicherheit von Android

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>