Gefährliche Sicherheitslücke bei Google Play

Das Sicherheitsunternehmen Trustwave hat auf der Hackerkonferenz Black Hat eine Studie (PDF-Datei) vorgestellt, wonach Googles Sicherheits-Management im Play Store nach der Verifizierung von Apps fast vollständig versagt. Demnach haben die Sicherheitsexperten einen eigens für Tests entwickelten SMS Blocker namens Bloxor in Googles Play Store eingereicht. Der Preis der App war sehr hoch angesetzt, damit andere Benutzer die Test-App nicht installieren. Die App wurde durch den Sicherheitsscanner Google Bouncer ordnungsgemäß darauf getestet, ob sie den Richtlinien des Konzerns entspricht. Während des Prozesses konnten die Experten den IP-Bereich der Server orten, auf dem der Scanner läuft.

Als der Filter den vorgeblichen SMS-Blocker wie erwartet als unbedenklich einstufte, wurde die Anwendung verifiziert und für den Play Store freigegeben. Danach reichten die Experten ein Programm-Update ein, das mit einer Schadfunktion ausgestattet war. Der Schadcode wurde jedoch nicht im IP-Bereich von Bouncer ausgeführt, sodass er unentdeckt blieb. Bei weiteren Updates entfiel die IP-Sperre, was aber noch nicht zu Beanstandungen führte. Erst als die App im Sekundentakt das Adressbuch des in Bouncer simulierten Smartphones ausliest und an einen Server im Internet schickt, reagiert das Sicherheitssystem. Das Entwicklerkonto wird gesperrt und die App 24 Stunden später gelöscht.

Bouncer reagiert wahrscheinlich auch deshalb so spät, weil die Sicherheitsexperten bei den Updates nicht die komplette App ausgetauscht haben. Einzelne Module lassen sich auch über die Javascript-Bridge bei einer schon installierten App nachladen. Darüber lässt sich dann auch Schadcode einschleusen, der von Bouncer offenbar nicht in jedem Fall bemerkt wird.

Die Trustwave-Experten fordern daher, dass Google die Verhaltensanalyse bei der App-Prüfung verbessert. Google könnte beispielsweise für jede App eine Funktions- und Aktions-Liste erstellen und zusammen mit der App ausliefern. Wenn ein Programm zur Laufzeit bestimmte Grenzen überschreitet, erhält der Nutzer eine Warnmeldung und kann sich entscheiden, ob er die App weiter verwenden oder sie beenden möchte. Eine weitere Forderung: Google sollte die Funktion der Javascript-Bridge beschränken. Apps sollten nur signierten Code ausführen dürfen und dieser sollte nur mit eingeschränkten Privilegien laufen.