Smartphone-Sicherheit

"Bouncer": Sicherheitscheck bei Google Play leicht auszutricksen

Bösartiger Code lässt sich doch in den Appstore schmuggeln
AAA

Die "Bouncer" genannte Sicher­heits­über­prü­fung im Google Play Store lässt sich leicht austricksen. Vor einigen Tagen verrieten Hacker auf einer Konferenz, wie es möglich ist, bösartigen Code in den Android-Appstore zu schmuggeln.

Im Februar hatte Google erstmals erklärt, wie der "Wachhund" Bouncer funktioniert: Die Sicherheitsroutine gleicht alle vorhandenen und neuen Apps regelmäßig mit einer Datenbank ab, die jede bekannte Form von Schadcode enthält. Und genau dieses System konnten die Sicherheitsexperten nun durch ein besonderes Verfahren umgehen.

"Gute" App wird später mit Schadcode angereichert

Bouncer: Sicherheitsprüfung bei Google Play leicht auszutricksenBouncer: Sicherheitsprüfung bei
Google Play leicht auszutricksen
Die Experten luden eine "gute" App in den Play Store hoch, die alle Sicherheitsprüfungen bestand. Das "SMS Bloxor" genannte Programm sollte der Filterung ankommender SMS dienen, hatte aber lediglich den Zweck, den Bouncer zu testen. Mit einem Preis von 50 Dollar bestand kaum Gefahr, dass ein Anwender die App aus Versehen kaufte. Nachdem die App erst einmal im Play Store angekommen war, luden die Entwickler über Javascript-Bridge-Updates nach und nach Schadcode in das Programm. Bei diesem Verfahren muss die App selbst nicht neu installiert werden. Anschließend ermittelten die Experten den IP-Adressenbereich des Bouncers und ließen die App den Schadcode nur außerhalb dieser "Überwachungszone" ausführen.

Danach wollten die Hacker wissen, wann der Wachhund endlich anschlagen würde. Ein Ausschalten der IP-Sperre bewirkte noch keine Änderung - der Schadcode ließ sich problemlos weiter ausführen. Danach begann die App damit, Fotos und die Telefon-ID auszulesen und die Liste der Anrufer zu kopieren. Schließlich ließen die Experten die App im Sekundentakt eine Kopie des Adressbuchs an einen externen Server schicken. Erst dann blockierte Bouncer den Entwickleraccount und entfernte die App aus dem Play Store.

Für die Lösung des Problems gibt es nach Auffassung der Sicherheitsexperten zwei Möglichkeiten. Auf der einen Seite könnte Google das interne Update-Verfahren über die Javascript-Bridge abstellen - damit wäre bei jeder Code-Änderung ein kompletter Neu-Upload in den Appstore notwendig. Andererseits könnte man die Sicherheitsprüfung auf das Smartphone des Nutzers verlagern - dazu müsste der Bouncer eine feste Systemkomponente von Android werden. Auf jeden Fall besteht für Google nun Handlungsbedarf.

Mehr zum Thema Google Play (Android Market)