Xray.io: Sicherheits-Check für Android

Allein durch seine Verbreitung ist Android zu einer lohnenden Plattform für Malware-Entwickler geworden. Allein im vergangenen Jahr 2012 wurden nach einem Bericht des Marktforschungsunternehmens IDC 333,6 Millionen Android-Geräte ausgeliefert und kommen damit bei den Smartphones auf einen Marktanteil von 68%.

Die neuen Android-Versionen 4.1 und 4.2 mit dem Code-Namen „Jelly Bean“ machen dabei aber nur einen geringen Teil aus. Die große Masse der Geräte läuft mit älteren Versionen von Googles Open-Source-Betriebssystem, da Hersteller die Wahl haben, welche Version auf die Geräte kommt. Dies führt im Lager der Androiden zu einer erheblichen Fragmentierung: Ende 2012 läuft erst auf 27,5 Prozent der Geräte Android 4.0.X (Ice Cream Sandwich) und Android 4.1 bis 4.2 (Jelly Bean) kommt nur auf bescheidene 6,7 Prozent. Die verbreitete Version ist immer noch Gingerbread (Android 2.3) mit über 50 Prozent. Diese Daten sammelt Google über seinen App-Markt Google-Play und veröffentlicht alle zwei Wochen eine aktuelle Statistik.

Updates kommen zu langsamDer Versions-Zoo zeigt eines der großen Probleme der Android-Plattform. Obwohl Google neue Versionen und Updates seines Mobil-Betriebssystems rechtzeitig veröffentlicht und dokumentiert, kommen Geräte-Hersteller und Mobilfunkanbieter nicht in die Gänge. Wichtige Sicherheitsupdates kommen entweder spät, oder auch gar nicht mehr. Hersteller begründen dies mit dem verbundenen Entwicklungsaufwand. Individuelle Bedienoberflächen wie etwa TouchWiz von Samsung und Treiber für das verwendete SoC (System-on-Chip) muss der Hersteller für jedes neue Android anpassen. Gerade bei älteren Geräten sparen sich Hersteller diese Aufgabe und belassen es bei alten Versionen - inklusive alten, bekannten Sicherheitslücken.

Xray.io: Check für bekannte ExploitsWie anfällig verbreitete Android-Geräte für bekannte Root-Exploits sind, die über enthaltene Programmierfehler einen Root-Zugriff auf Android ermöglichen, zeigt die kostenlose App Xray.io. Das Projekt ist eine Entwicklung des Startup-Unternehmens Duo Security, das unter anderem von Google und DARPA (Defense Advanced Research Projects Agency) finanziert wird. Die App liegt auf der Projekt-Webseite als APK-Paket vor, das sich unter allen Android-Versionen installieren lässt, wenn die Option "Einstellungen, Apps, Unbekannte Quellen zulassen" aktiviert ist. Der Grund, dass die App nicht über Google Play verfügbar ist, liegt einfach daran, dass sie bekannte Root-Exploits enthält und deshalb von den Sicherheitsmechanismen des App-Markts geblockt werden würde.

Xray.io ist einfach gehalten und setzt kein spezielles Android-Wissen voraus. Anwender installieren die App und starten dann nach dem Aufruf den eigentlichen Check. Zuerst aktualisiert Xray.io die Liste bekannter Root-Exploits über eine Internet-Verbindung und zeigt anschließend, welche Schwachstellen das Gerät unsicher machen. Unter anderem kontrolliert Xray.io die Exploits Gingerbreak, Wunderbar, Exploid, ASHMEM, ZergRush, Zimperlich, Mempodroid und Levitator. Die App meldet die funktionierenden Exploits anonymisiert zurück an den Server von Duo Security, die aus den gesammelten, anonymen Dateien eigene Statistiken generieren. Aktuell zeigen die gemeldeten Daten von mehr als 20.000 Android-Geräten, dass die Hälfte aller eingesetzten Android-Systeme bekannte Sicherheitslücken aufweisen, die von böswilligen Apps ausgenutzt werden könnten, um Root-Rechte zu erlangen.

Vorsicht und inoffizielle Android-Versionen schaffen AbhilfeEine Lösung kann Xray.io selbst nicht bieten, denn die App dient nur zum Check des Systems. Abhilfe müssten Geräte-Anbieter schaffen und Sicherheitspatches und Updates für ihre Geräte ausliefern. Anders als Malware-Scanner für Android überprüft Xray.io auch keine installierten Apps, sondern macht nur auf mögliche Sicherheitslücken aufmerksam. Duo Security empfiehlt stattdessen, sich an den Support des Mobilfunkanbieters oder Geräteherstellers zu wenden, um sich dort über veraltete Android-Versionen zu beschweren.

Funktionierende Exploits bedeuten bei Android noch nicht, dass ein Gerät automatisch Opfer von Malware wird. Denn bislang setzen die Entwickler böswilliger Apps darauf, dass Anwender den Schadcode manuell über vielversprechende APKs außerhalb von Google Play installieren. Der App-Markt von Google hat nämlich mit dem „Bouncer“ seit Februar 2012 einen eigenen Sicherheitsmechanismus, der verdächtige Apps blockiert. Generell sind also Installationen von APKs aus dubiosen Quellen, etwa von Warez-Webseiten, generell tabu. Denn hier finden auch Antivirenhersteller für Android die gefährlichen Apps und damit ihre eigene Daseinsberechtigung.

Eine weitere Möglichkeit für erfahrene Anwender mit Lust am Experimentieren und Ausprobieren bieten inoffizielle Android-Versionen (Custom ROMs) wie etwa Cyanogen Mod. Der Vorteil ist, dass die freien Android-Varianten meist aktueller sind, als die offiziell vom Hersteller ausgelieferten Betriebssystemversionen. Allerdings werden nicht alle Modelle von Custom ROMs unterstützt und es ist in jedem Fall für interessierte Anwender eine detaillierte Recherche nötig, um ein kompatibles ROM zu finden. Zudem muss das Gerät gerootet sein, beziehungsweise über einen entsperrten Boot-Loader verfügen.