Android: Googles Virenscanner lässt sich austricksen
Mit einem "Bouncer" genannten System prüft Google neue Android-Apps auf gefährlichen Code. Doch der "Türsteher" ist verwundbar: Viren und Trojaner können ihn überwinden.
Was genau tut Bouncer? Zwei Sicherheitsexperten haben das mit einem Trick herausgefunden.
Die App-Plattform von Android wurde oft dafür kritisiert, dass neue Programme dort vor Veröffentlichung nicht gründlich geprüft würden. Doch so stimmt das nicht. Schon ein Jahr lang verrichtete der Malware-Scanner namens Bouncer – englisch für Türsteher – seinen Dienst im Android Market, bevor Google im Februar seine Existenz bekannt gab. Die Software überprüft jede neu hochgeladene App auf schädlichen Code, bevor Android-Nutzer sie herunterladen können.
Zwei Sicherheitsexperten aus den USA haben nun aber einen Weg gezeigt, wie sich Bouncer austricksen lässt, um verseuchte Apps zu verbreiten.
Jon Oberheide und Charlie Miller heißen die beiden. In einem kurzen Video erläutert Oberheide das Prinzip ihres Hacks. Dazu haben sie eine App geschrieben und sie bei Google Play, wie der Android Market mittlerweile heißt, hochgeladen. Beim Hochladen öffnet diese App eine Tür zu Bouncer, um dessen Funktionsweise auszukundschaften.
Der Türsteher testet die neue App in einer virtuellen Umgebung. Er gibt also vor, ein Android-Betriebssystem zu sein und prüft, was die App in diesem Umfeld tut. Die Test-App von Oberheide und Miller stellt während dieses Vorgangs eine Verbindung zum Rechner der beiden her. Diese Verbindung ermöglicht es den Forschern, sich über einen Kommandozeileninterpreter die virtuelle Bouncer-Umgebung anzusehen.
Sie erkennen dabei – zum Beispiel anhand von Verzeichnisnamen – um was für eine Umgebung es sich handelt. In diesem Fall ist es eine sogenannte Qemu-Instanz. Das steht für Quick Emulator – eine virtuelle Maschine, die vorgibt, die Hardware eines Computers zu sein.
Wenn jemand aber weiß, dass Bouncer in einer Qemu-Instanz den Sicherheitstest durchführt, kann er seine App so programmieren, dass die Malware solche Umgebungen erkennt und sich darin grundsätzlich ruhig verhält. Bouncer wird sie dann nicht aufspüren. Aktiv wird der bösartige Code erst, wenn die App auf einem Smartphone oder Tablet gelandet ist.
So funktionieren auch viele Trojaner für Windows-PCs: Sie erkennen, ob sie gerade mit einer virtuellen Umgebung laufen und schließen daraus, dass es sich um Anti-Viren-Software handelt. So lange der Prozess läuft, bleiben sie inaktiv, um ihre Entdeckung zu erschweren.
Was die beiden Experten bislang demonstriert haben, ist aber offenbar nicht alles: Im Video spricht Oberheide davon, dass es mehrere Wege gibt, Bouncer auszutricksen. Details wollen die beiden am Freitag bei der SummerCon in New York nennen.
Für Android-Nutzer bedeutet das: Der App Store ist weniger sicher, als Google bislang behauptet. Wer sich neue Apps herunterlädt, sollte sich den Entwickler derselben vorher also möglichst genau ansehen und nur dann eine App herunterladen, wenn er dem Anbieter vertraut.
Google selbst hat sich bislang nicht zu dem Hack von Oberheide und Miller geäußert.
Eigentlich gehört das nicht so recht hier her. Ich habe von einem Bekannten ein Rätsel hinterlassen bekommen und weiß nicht so recht, etwas damit anzufangen. Möglich aber, daß hier im Forum jemand ist, dem dazu etwas einfällt.
Ich habe die Daten hier eingestellt, da hier offenbar noch miemand einen Beitrag verfaßt hat. Ich bitte um Nachsicht, wenn dies abseits des Themas liegt und hoffe darauf, daß der Aminsitrator den Beitrag dennoch und ausnahmsweise passieren läßt, vielen Dank.
Das Rätsel sieht wie folgt aus:
"Die Sonne scheint nicht selten an Tagen mit einer 1 und 3 in der Ziffer rot:
A52|43|53.9
R008|17|03.4
41075 "
Bitte melden Sie sich an, um zu kommentieren