Sicherheit
Android 4.2: Virenscanner bietet kaum Schutz
von
Thorsten
Eggeling - 16.12.2012
In Android 4.2 soll der eingebaute Application Verification Service die Nutzer vor Schadsoftware schützen. Forscher haben den Dienst untersucht und bescheinigen ihm nur eine geringe Schutzwirkung.
Mit Android 4.2 alias Jelly Bean hat Google den App Verification Service in sein mobiles Betriebssystem integriert. Dieser testet Apps aus beliebigen Quellen auf Schadsoftware. Dazu erstellt das Smartphone einen SHA1-Hash-Wert der App und schickt diesen neben Daten wie App-Name, Größe, Version, assoziierter URL, Smartphone-Nummer und IP-Adresse zur Analyse an einen Google-Server. Stuft der Dienst eine App als unsicher ein, wird der Nutzer noch rechtzeitig vor der Installation gewarnt. So zumindest die Theorie.
In der Praxis erweist sich der eingebaute Schutz als wenig wirkungsvoll, wie nun Wissenschaftler der North Carolina State University herausgefunden haben. Am 13. November nahmen sie den vielversprechenden Application Verification Service von Google genauer unter die Lupe. Sie konfrontierten den Google-Dienst auf einem Nexus-10-Tablet mit Android 4.2 mit insgesamt 1260 gängigen Schadcode-Dateien. Das niederschmetternde Ergebnis: Die Erkennungsleistung betrug gerade einmal magere 15 Prozent.
Um Vergleichswerte zu erhalten, prüften die Wissenschaftler Beispieldateien einzelner Schädlingsfamilien über Virustotal. Google hatte den Online-Service im September 2012 übernommen. Virustotal untersucht eingesandte Dateien unter anderem mit Antivirensoftware von Kaspersky, Avast. AVG, TrendMicro, Symantec, Bitdefender, ClamAV und F-Secure. Deren Erkennungsraten sollen zwischen 51 und 100 Prozent gelegen haben. Zwei der Sicherheits-Tools sollen sogar sämtliche Schadprogramme identifiziert haben. Da sich der Test offiziell ausschließlich mit der Analyse des Google-Services auseinandersetzte, verraten die Experten allerdings nicht, welche Produkte diese Spitzenergebnisse erbrachten.
Fazit
Der Leiter der Analyse der North Carolina State University (NCSU), Xuxian Jiang hält den Application Verification Service trotz des schwachen Ergebnisses prinzipiell für eine sinnvolle Schutzmaßnahme und empfiehlt Google, den Online-Virenscanner weiter auszubauen. Besonders kritisch sieht er bei der Erkennung von Viren und Trojanern allerdings die hohe Relevanz des SHA1-Wertes. Dieser sei viel zu leicht zu manipulieren. Außerdem stößt bei den Experten auf Unverständnis, warum Google nicht auch Virustotal mit in die Analyse einbezieht, obwohl hier im eigenen Hause eine Lösung mit deutlich höherer Erkennungsleistung bereits verfügbar ist.
Der Leiter der Analyse der North Carolina State University (NCSU), Xuxian Jiang hält den Application Verification Service trotz des schwachen Ergebnisses prinzipiell für eine sinnvolle Schutzmaßnahme und empfiehlt Google, den Online-Virenscanner weiter auszubauen. Besonders kritisch sieht er bei der Erkennung von Viren und Trojanern allerdings die hohe Relevanz des SHA1-Wertes. Dieser sei viel zu leicht zu manipulieren. Außerdem stößt bei den Experten auf Unverständnis, warum Google nicht auch Virustotal mit in die Analyse einbezieht, obwohl hier im eigenen Hause eine Lösung mit deutlich höherer Erkennungsleistung bereits verfügbar ist.
