App verhindert Datenklau auf Android-Geräten
“Mein Smartphone weiß fast alles über mich: Angefangen von meinem Namen, meiner Telefonnummer, meiner E-Mail-Adresse, über meine Interessen bis hin zu meinem aktuellen Aufenthaltsort”, erklärt Informatik-Professor Michael Backes, der an der Universität des Saarlandes das Center für IT-Security, Privacy and Accountability (CISPA) leitet. “Und es kennt sogar meine Freunde bestens. Deren Kontaktdaten speichert es ja auch.”
Daher wundere es ihn nicht, dass zahlreiche Apps einfache Anwendungen vorspielen und im Hintergrund die Kennnummer des Gerätes, den eigenen Aufenthaltsort oder sogar die Kontaktdaten von Freunden, Kollegen und Kunden an einen Server irgendwo im Internet verschicken.
Der Wissenschaftler zitiert dazu eine Studie der University of California in Santa Barbara, wonach von 825 untersuchten Apps für das iPhone und dessen Betriebssystem iOS 21 Prozent die Identifikationsnummer, vier Prozent die aktuelle Position weitergeben und 0,5 Prozent sogar das Adressbuch kopieren. Backes und seine Forschergruppe schieben diesem Missbrauch nun einen Riegel vor – zumindest für Android-Smartphones.
Das Betriebssystems zeichnet sich durch eine rigorose Rechtevergabe aus. Will der Anwender eine heruntergeladene App installieren, erfährt er mittels einer Liste, welche Zugriffsrechte auf Daten (Ort, Kontakt, Fotos) und Funktionen (Internet, Ortung) diese fordert. Entweder er akzeptiert alle Bedingungen oder die App wird nicht installiert. Nach der Installation können die Rechte nicht mehr rückgängig gemacht werden.
“Hinzu kommt, dass viele Entwickler generell alle Rechte für ihre App anfordern, weil das Rechtekonzept von Android missverständlich ist, sie aber den reibungslosen Betrieb ihrer App sicherstellen wollen”, erklärt Philipp von Styp-Rekowsky, Doktorand am Lehrstuhl für IT-Sicherheit und Kryptografie der Saar-Universität.
Die App “SRT AppGuard” ändert das jetzt. Sie stellt für jede auf dem Smartphone installierte Anwendung fest, worauf diese zugreift und zeigt dies dem Anwender an. Der kann der jeweiligen App dann die Rechte dafür entziehen oder neu gewähren.
Die App war kurzzeitig bei Google Play verfügbar, wurde dann aber wieder aus dem Store genommen. Wie ITespresso auf Anfrage erfuhr, stehen die Entwickler mit Google in Kontakt, Gründe für die Löschung sind ihnen jedoch bisher nicht bekannt. Interessenten können die App derzeit daher nur auf der Homepage der Firma Backes SRT herunterladen. Sie setzt Android 3.0 oder höher voraus.
Für ihren Ansatz nutzen die Saarbrücker Informatiker die Tatsache aus, dass die Android-Apps in einer in Java geschriebenen virtuellen Maschine laufen. Die Apps werden daher nach der Installation als ausführbarer Bytecode auf dem Smartphone abgespeichert. Während die App läuft, wird der nach sicherheitskritischen Stellen durchsucht. Vor jede verdächtige Anweisung oder jeden Aufruf fügt er einen speziellen Überwachungscode ein. Der so abgesicherte Bytecode ersetzt den ursprüngliche, so dass diese Prozedur nicht wiederholt werden muss. Dieses Überschreiben erfordert meist nur wenige Sekunden. In einem Forschungspapier (PDF) haben sie ihr Vorgehen detailliert beschrieben.
Die Saarbrücker App kann Alarm schlagen sowie verdächtige Aufrufe blocken oder diese so ändern, dass sie kein Unheil anrichten. “Wir können somit auch verhindern, dass bereits bekannte Sicherheitslücken in der jeweiligen App oder des Android-Betriebssystems ausgenutzt werden”, sagt Professor Backes. Diese Möglichkeit sei etwa interessant, falls der Hersteller mit dem Ausbessern nicht zeitnah nachkommen.