SRT Appscanner prüft auf Sicherheitslücken in Android-Smartphones

MobileMobile AppsMobile OSSicherheitSmartphone
SRT-Appscanner

Saarbrücker Informatiker haben eine kostenlose App entwickelt, die Android-Smartphones auf Security-Lecks überprüft und installierte Miniprogramme durchleuchtet. Sie verweisen dabei auf zwei Sicherheitslücken, die potenzielle Einfallstore für bösartigen Programmcode darstellen.

Professor Michael BackesZusammen mit Informatikern des von ihm gegründeten Unternehmens “Backes SRT” hat Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes, die App SRT Appscanner für Android-Smartphones entwickelt. Der Appscanner zeigt dem Anwender an, ob die bereits installierten und zukünftigen Apps auf seinem Smartphone Schadcode enthalten. “Damit beheben wir zwar nicht die Sicherheitslücken, aber machen immerhin Privatpersonen darauf aufmerksam. Sie können die betroffene App dann löschen und eine nicht manipulierte Version neu installieren”, sagt Backes.

SRT AppScanner
Der SRT Appscanner testet Programme auf Umgehung der Signaturprüfungslücken in Android. (Screen: Uni Saarbrücken)

Der Professor verweist dabei auf Google-Gründer Larry Page, laut dem seit März dieses Jahres weltweit 750 Millionen Android-Geräte in Betrieb sind. Backes vermutet, dass der größte Teil davon immer noch durch zwei kürzlich aufgedeckte Sicherheitslücken verwundbar ist. Google führt sie unter den Kennziffern “8219321” und “„9695860” auf. Beide ermöglichen das Umgehen des sogenannten Signaturverfahrens während der Installation von neuen Apps. Ähnlich wie eine persönliche Unterschrift soll das Signaturverfahren für die Anwender sicherstellen, dass die Installationsdateien der neuen App nur vom Entwickler erstellt und im Nachhinein nicht verändert worden sind. Würden die Angreifer es dennoch versuchen, hielte die vorab erstellte Signatur nicht mehr der Überprüfung stand. Genau das verhindern die beiden Lecks in Android. Die Installationspakete für die jeweilige App lassen sich dadurch jederzeit manipulieren, ihre Signatur bleibt unverändert, der Anwender wähnt sich fälschlicherweise in Sicherheit. Auf diese Weise können die Angreifer nach Belieben bösartigen Code einschleusen und damit sowohl Daten als auch Geld des jeweiligen Besitzers rauben. Beide Lücken habe Google, so Professor Backes, mittlerweile in der neusten Android-Version 4.3 behoben. Allerdings seien viele Geräte immer noch ungeschützt

Der SRT AppScanner wurde im Google Play Store zum kostenlosen Herunterladen veröffentlicht.