Fraunhofer kritisiert kostenlose Sicherheits-Apps für Android als unzureichend
Der Großteil der meistgenutzten, frei verfügbaren Antiviren-Apps für Android-Geräte ist wirkungslos und lässt sich mit einfachen Mitteln umgehen. Zu diesem Ergebnis kommen Mitarbeiter des Fraunhofer AISEC nach einer Untersuchung (PDF) der zwölf populärsten kostenlosen Antiviren-Apps für Android-Geräte. Sie gehen aber davon aus, dass auch kostenpflichtige Apps nicht wesentlich besser abschneiden würden, da sie in der Regel keine oder nur wenige zusätzlichen Sicherheitsmechanismen bieten.
In der Untersuchung konnte keine der geprüften Sicherheits-Apps ausreichenden Schutz gegen aktuelle Schadsoftware bieten. Zwar wurden in einem ersten Testlauf bekannte Varianten geblockt, aber bereits einfache Änderungen hätten dazu geführt, dass die Varianten von den Schutz-Apps nicht mehr erkannt wurden. Laut Fraunhofer reichen simple Umbenennung der Schaddateien oder minimale Modifikationen der Schadsoftware aus, damit sie von der Antiviren-App als unbekannt eingestuft werden.
Die Schadsoftware ihrerseits verliert dadurch nicht an Gefahrenpotenzial und kann ihre volle Wirkung auf dem ungeschützten Gerät entfalten”, erklären die Autoren der Studie. Sie sehen dadurch ein gesteigertes Risiko sowohl für Privatnutzer als auch für Unternehmen, die den Einsatz privater mobiler Endgeräte erlauben.
“Die meisten Nutzer vertrauen darauf, dass die Apps sie effektiv gegen Schadsoftware aller Art schützen. Wir wollten wissen, ob dieses Vertrauen gerechtfertigt ist. Unsere Tests der populärsten, frei verfügbaren Antiviren Apps zeigten, dass dem nicht so ist”, sagt Julian Schütte, Leiter der Projektgruppe Mobile Security am Fraunhofer AISEC.
Seiner Ansicht nach beruhen die hohen Erkennungsraten, die Antiviren-Apps häufig attestiert werden, Tests, bei denen die Erkennung bereits bekannter Schadsoftware im Mittelpunkt steht. Wird die Schadsoftware jedoch an den für die Erkennung relevanten Referenzstellen verändert, werde sie nicht mehr als solche erkannt und könne ungehindert auf das Gerät gelangen.
Für ihre Untersuchung wählten die Sicherheitsforscher aus der derzeit bekannten Schadsoftware die weitverbreitetste aus. Sie wurde modifiziert und mit den bekanntesten, kostenlosen mobilen Antiviren-Apps getestet. Der Grad der Modifikation variiert von einfacher Umbenennung der Dateinamen bis zum Einfügen von Code-Zeilen.
Im unveränderten Modus erkannten nahezu alle Apps die Schadsoftware einwandfrei. Allerdings fiel ein zweiter Test mit lediglich leicht modifiziertem Schadcode deutlich schlechter aus. Dabei konnte keine der getesteten Antiviren Apps konnte die volle Punktzahl erreichen.
Die Sicherheitsforscher dehnten anschließend die Test aus und prüften alle Apps mit einer eigens erstellten Schadsoftware, die an Horizont heraufziehende Angriffsszenarien wie die so genannte Cross-Platform-Infection aufgreift – also den Zugriff anderer mobiler und stationärer Geräte. Diese Malware konnte keine der untersuchten Apps erkennen.
“Wir haben heute ganze Ökosysteme aus mobilen Endgeräten, den stationären Geräten zuhause und am Arbeitsplatz. Das Smartphone kann zum Einfallstor und Türöffner für Angriffe auf das Unternehmensnetz werden”, erläutert Schütte. Es gebe bereits Schadsoftware, die keinen Schaden auf dem mobilen Gerät anrichtet, sondern darauf wartet, dass der Nutzer das Gerät mit einem stationären Rechner verbindet hat, um dann den Schadcode darauf auszuführen. Laut Schütte sei es daher für Unternehmen wichtig, private Geräte genau zu prüfen und Sicherheitsmodelle zu entwickeln, die weit über den Schutz lediglich mit Antiviren-Apps hinausgehen.
Was sagen Test von Sicherheits-Apps überhaupt aus?
Zu einem deutlich positiveren Ergebnis kamen früher schon die Tester von AV-Comparatives aus Innsbruck sowie kürzlich die Experten des Magdeburger Labors AV-Test. Sie hatten ebenfalls Sicherheits-Apps für Android unter die Lupe genommen – dabei aber keinen Unterschied zwischen kostenlosen, werbefinanzierten und kostenpflichtigen Apps gemacht. Ihrer Untersuchung zufolge bieten Norton Mobile Security 3.3, F-Secure Mobile Security 8.1, McAfee Mobile Security 2.3 und Trend Micro Mobile Security 3.0 den weitgehendsten Schutz.
“Der Test des Fraunhofer-Instituts bestätigt, was wir bereits wissen: Das Erkennen von unbekannter, zielgerichtet entwickelter Malware ist eine Herausforderung für traditionelle Endpoint-Sicherheit. Diese Herausforderung wird durch die Beschränkungen mobiler Betriebssysteme noch multipliziert. Der Test des Fraunhofer-Instituts fokussiert auf den Endpoint, und obwohl die Forscher die Effektivität reiner Cloud-Ansätze für die Erkennung anerkennen, beschränkt sich ihre Evaluierung nur auf die Endpoint-Seite des Problems”, erklärt Tim Wyatt, Sicherheitsexperte bei Lookout, auf Anfrage von ITespresso.
Zwar finde Lookout es richtig, dass die Fraunhofer-Experten in ihrem Test darauf achteten, als was genau eine Sicherheits-App ein Sample erkennt, anstatt nur einen Haken zu setzen, wenn sie irgendetwas erkennt. “Wir glauben jedoch, dass ein umfassender Test-Ansatz die Präsenz auf dem Endpoint mit einer leistungsfähigen Backend-Analyse und einem kontinuierlichen Monitoring des Status der Endpoint-Geräte verknüpfen sollte. Daher begrüßen wir zukünftige Tests, welche die Analyse-Fähigkeiten der Backend-Cloud-Plattformen berücksichtigen.”
Andere Hersteller, die allerdings zunächst für keine offizielle Stellungnahme erreichbar waren oder sich nicht offiziell äußeren wollten um sich nicht dem Verdacht auszusetzen, den Test nur deshalb zu kritisieren, dürften das ähnlich sehen. Denn aufgrund der begrenzten Ressourcen auf dem Smartphone selbst setzen auch sie genau wie Lookout stark auf einen datenbasierten Cloud-Ansatz, mit dem sie Muster erkennen und Korrelationen herstellen.
Am Test des Fraunhofer AISEC selbst hat keiner etwas auszusetzen. “Der Test des Fraunhofer ist in sich schlüssig aufgebaut und methodisch korrekt”, sagt etwa Udo Schneider, Sprecher von Trend Micro, im Gespräch mit ITespresso. “Allerdings ist fraglich, inwieweit der getestete Infektionsweg für die Mehrheut der Nutzer in der Praxis relevant ist.”
Überlegungen zur Sinnhaftigkeit und dem korrekten Aufbau von Test von Sicherheitsprogrammen haben in jüngster Zeit mehrere Experten angestellt. Die einfach als Selbstverteidigung abzutun, weil der jeweilige Arbeitgeber in dem einen oder anderen Test schlecht abgeschnitten hat, wäre verfehlt. Die Beiträge zeigen vielmehr, dass in einem sich rasch wandelnden Marktsegment althergebrachte Methoden oder auch lediglich modifizierte Methoden dem neuen Umfeld nicht mehr gerecht werden. Darüber machen sich übrigens auch die etablierten Testlabors selbst Gedanken, kürzlich zum Beispiel John Hawes, Test Team Director bei Virus Bulletin in einem Gastkommentar beim Sophos-Blog.
Zum Beispiel ist im Smartphone-Umfeld – vor allem bei Android – trotz der zunehmenden Anzahl von Malware umstritten, inwieweit sich diese überhaupt verbreiten kann und inwieweit sie überhaupt verbreitet ist. Oft handelt es sich um abgewandelte Programme, deren Installation der Nutzer zustimmen muss. Obwohl auch in Googles offiziellem App-Marktplatz immer wieder bösartige oder zumindest grenzwertige Programme auftauchen, laden die Nutzer jedoch überwiegend von alternativen Stores herunter.
Ähnlich verhält es sich mit den Link-Scanner-Modulen oder Apps: Auch sie funktionieren nur, wenn der Nutzer ihnen vertraut und nicht trotz einer Warnmeldung auf den gefährlichen Link ansurft. Darüber hinaus bewegen sich aber auch weit verbreitete und als seriös erachtete mobile Apps oft in einer Grauzone: Viele Aktionen greifen tief in die Privatsphäre des Nutzers ein – abstellen oder blockieren will er sie dennoch nicht.
Unterm Strich gilt damit sicher auch für Smartphone-Nutzer, was Jarno Niemelä, Security-Forscher bei F-Secure, vor kurzem im Gastbeitrag für ZDNet dargelegt hat: “Angreifer versuchen immer, alle Sicherheitsmaßnahmen zu umgehen, und wenn sie eine Lücke gefunden haben, nutzen sie sie so lange wie möglich aus. Dann aber heißt es oft wieder, AV sei nicht in der Lage, das abzuwehren. Wer so etwas denkt und danach handelt, macht seine Angriffsfläche durch Verzicht auf Abwehrmaßnahmen nur größer. Hüten Sie sich vor Leuten, die behaupten, Ihre Abwehrmaßnamen seien nicht sicher genug und die sie Ihnen deswegen ganz ausreden wollen!”
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de