Mobile Security
11.05.2019, 12:55 Uhr
Sicherheitslücken in vorinstallierten Android-Apps
Eine Studie von mehreren Sicherheitsforschern wirft Android-Herstellern vor, mit Schwachstellen behaftete Anwendungen auf ihren Produkten zu installieren.
Immer wieder werden in Android neue Sicherheitslücken gefunden. Google ist das bekannt. Der Internet-Gigant unternimmt deswegen grosse Anstrengungen, um das Betriebssystem abzusichern. Aber nicht nur Android selbst kann Schwachstellen enthalten, auch in vorinstallierten Apps werden immer wieder teilweise gravierende Sicherheitslücken gefunden. Manche von ihnen werden absichtlich platziert, andere werden schlicht übersehen. Mehrere amerikanische und spanische Sicherheitsforscher sind diesem Problem nun in der gemeinsamen Studie „An Analysis of Pre-installed Android Software“ nachgegangen. Dabei kamen sie zu teilweise erschreckenden Ergebnissen.
Für ihre Untersuchungen haben sie vorinstallierte Android-Software von mehr als 200 Anbietern analysiert. Dabei sind sie auf zahlreiche undokumentierte Verbindungen zwischen den Herstellern der Geräte und Werbe- und Tracking-Anbietern sowie zu sozialen Netzwerken gestossen. Meist gehe es dabei um das Ausspielen von Werbung und andere durch Daten getriebene Dienste, schreiben die Autoren der Studie. In der Regel gebe es bei diesen Verbindungen jedoch nur wenig Transparenz. Auch ist ihnen immer wieder aufgefallen, dass Anwendungen schädliche Verhaltensweise aufwiesen und Hintertüren enthielten, um ohne Wissen und Zustimmung der Anwender heimlich sensible Daten zu sammeln.
Forderung nach stärkerer Android-Reglementierung
Einer der grössten Vorteile von Android ist zugleich auch ein gravierender Nachteil, wenn es um das Thema Sicherheit geht. Google hat mit dem Betriebssystem eine offene Umgebung geschaffen, die von zum Beispiel den Hardware-Herstellern relativ leicht um eigene Komponenten erweitert werden kann. Apple ist hier mit iOS weit restriktiver. Viele Android-Hersteller reizen die ihnen zur Verfügung stehenden Möglichkeiten aus und ergänzen ihre Produkte um eigene Zugaben. Oft arbeiten sie dabei mit Mobilfunk-Providern, sozialen Netzwerken und Content-Anbietern zusammen. Google ist auch das bekannt. Das Unternehmen hat deswegen das Android Compatibility Program mit Anforderungen für Erweiterungen und Anpassungen des Betriebssystems entwickelt.
Die dabei von den Herstellern verwendeten Prozesse sind aber nach Ansicht der Autoren der Studie nicht immer transparent. Ausserdem hätten viele Beispiele in der Vergangenheit gezeigt, dass die durchgeführten Qualitätskontrollen nicht immer ausreichend seien, so dass mehrfach Apps mit Sicherheitslücken und Backdoors vorinstalliert worden seien. Android-Smartphones würden zudem eine wichtige Rolle bei der massenhaften Sammlung von Nutzerdaten für Advertising- und Tracking-Dienste spielen.
Aufgrund der gefundenen Probleme fordern die Autoren der Studie eine stärkere Reglementierung der Android-Welt. Erster Kandidat für diese Aufgabe sei Google selbst. Alternativ müssten Regierungen und Regulierungsbehörden einschreiten, um sorgfältigere Kontrollen beim Einsatz von vorinstallierten Anwendungen auf Android-Geräten durchzusetzen.