Eine der tiefgreifenderen Neuerungen von Android 4.2 ist ein App-Verifizierungs-Dienst, der am Play Store vorbeiinstallierte Anwendungen auf das Vorhandensein von bekannter Malware untersucht. Forscher von der NC State University haben Googles neustes Android-Sicherheits-Feature genauer unter die Lupe genommen und deutliches Verbesserungspotenzial gefunden.
Im Gegensatz zu Apples iOS schränkt Android den User in der Wahl seiner Software-Quellen nicht ein. Die meisten Android-User werden ihre Apps wohl aus dem Google Play Store heraus installieren, doch alternative Markets wie der Amazon App-Store oder auch F-Droid haben durchaus ihren Kundenkreis. Und auch das manuelle Installieren von Apps über APK-Dateien wird von Android – im Gegensatz zu iOS – nicht unterbunden.
Diese Freiheit birgt jedoch immer das Risiko, dass Malware ohne Überprüfung des Market-Betreibers auf dem Smartphone installiert wird. Besonders in asiatischen Ländern ist dies ein Problem, da dort viele Geräte ohne die „Google-Experience“, also ohne Gmail, Google Play und Co., verkauft werden und der Download gecrackter Apps gang und gäbe ist.
Um von Hand installierte Apps überprüfen zu können wurde in Android „Jelly Bean“ 4.2 eine Routine eingebaut, die Prüfsummen der Pakete erzeugt und diese mit einem „App Verification Server“ von Google abgleicht. Ist das Paket bereits als Malware bekannt, wird die Installation unterbunden. Das Feature ist nicht fest verbaut, es lässt sich in den Einstellungen auch wieder deaktivieren.
IT-Spezialisten vom Department of Computer Science der NC State University haben sich den neuen Dienst genauer angesehen. Über Tausend verschiedene Malware-Test-Apps aus 49 verschiedenen Malware-Klassen wurden auf Nexus-10-Tablets mit Android 4.2 installiert und die Ergebnisse der Überprüfung durch Google festgehalten. Nur ein erschreckend geringer Anteil von 15,32% dieser Testdateien wurden vom App Verification Server als Malware erkannt und vom System zurückgehalten.
In einem zweiten Versuch wurden die angesprochenen Malware-Klassen mit den Ergebnissen des Meta-Scanners von VirusTotal (Seit September 2012 auch eine Google-Tochter) verglichen. Auch hier sind die Ergebnisse des App-Verifizierers wieder deutlich unterlegen, die meisten der verglichenen Antivirus-Lösungen konnten über das Testfeld hinweg hohe Erkennungsraten bei einer Vielzahl von Malware-Varianten vorweisen, nur Googles App-Verifizierer fiel mit einer Erkennungsrate von knapp über 20% komplett durch.
Tausche Sicherheit gegen Privatsphäre
Die Forscher kommen zum Schluss, dass Google deutlich mehr Informationen als lediglich die SHA1-Prüfsumme der APK-Datei übermitteln müsste, um einen effektiven Schutz vor Malware bieten zu können. Allerdings müssten Android-User dann deutlich Einschränkungen in Bezug auf die Privatsphäre hinnehmen, schließlich würde der App-Prüfer in diesem Fall dann weitere Informationen übertragen oder vielleicht sogar die komplette APK-Datei zur Prüfung übermitteln müssen.
Das ist ja eindeutig ein Copycat von Yuilop…