Das Sicherheitsunternehmen
Trustwave hat auf der Hackerkonferenz
Black Hat eine
Studie (PDF-Datei) vorgestellt, wonach Googles Sicherheits-Management im Play Store nach der Verifizierung von Apps fast vollständig versagt. Demnach haben die Sicherheitsexperten einen eigens für Tests entwickelten SMS Blocker namens Bloxor in Googles Play Store eingereicht. Der Preis der App war sehr hoch angesetzt, damit andere Benutzer die Test-App nicht installieren. Die App wurde durch den Sicherheitsscanner
Google Bouncer ordnungsgemäß darauf getestet, ob sie den Richtlinien des Konzerns entspricht. Während des Prozesses konnten die Experten den IP-Bereich der Server orten, auf dem der Scanner läuft.
Als der Filter den vorgeblichen SMS-Blocker wie erwartet als unbedenklich einstufte, wurde die Anwendung verifiziert und für den Play Store freigegeben. Danach reichten die Experten ein Programm-Update ein, das mit einer Schadfunktion ausgestattet war. Der Schadcode wurde jedoch nicht im IP-Bereich von Bouncer ausgeführt, sodass er unentdeckt blieb. Bei weiteren Updates entfiel die IP-Sperre, was aber noch nicht zu Beanstandungen führte. Erst als die App im Sekundentakt das Adressbuch des in Bouncer simulierten Smartphones ausliest und an einen Server im Internet schickt, reagiert das Sicherheitssystem. Das Entwicklerkonto wird gesperrt und die App 24 Stunden später gelöscht.
Bouncer reagiert wahrscheinlich auch deshalb so spät, weil die Sicherheitsexperten bei den Updates nicht die komplette App ausgetauscht haben. Einzelne Module lassen sich auch über die Javascript-Bridge bei einer schon installierten App nachladen. Darüber lässt sich dann auch Schadcode einschleusen, der von Bouncer offenbar nicht in jedem Fall bemerkt wird.