News 11.12.2012, 13:00 Uhr

Was taugt Androids neuer Malware-Schutz?

Mit Android 4.2 führte Google eine neue Prüfroutine zum Aufspüren von Malware-Apps ein. Diese hat aber noch ihre Tücken, wie ein aktueller Test zeigt.
Mit der neusten Android-Version 4.2 hat Google auch einige neue Sicherheitsfunktionen vorgestellt, allen voran den «Application Verification Service», eine Prüfroutine, die Apps bei der Installation auf Malware prüft. Dies funktioniert nicht nur bei Apps aus dem offiziellen Play Store, sondern auch bei solchen aus alternativen Stores. Die (optionale) Funktion blockiert eindeutig identifizierte Malware und warnt vor potenziell gefährlichen Apps. Eine gute Sache also, angesichts der zahlreichen Berichte zu Android-Malware.
Erkennungsrate: 15,3 Prozent
Doch wie effektiv ist die App-Prüfroutine von Android 4.2 wirklich? Xuxian Jiang, Professor an der North Carolina State University, wollte dieser Frage nachgehen. Er testete die Sicherheitsfunktion dazu mit einer Auswahl von 1260 Malware-Samples, die in Entwicklerkreisen gerne zum Testen beigezogen werden. Das Resultate fällt ziemlich ernüchternd aus: Von den 1260 Samples konnte die Android-Prüfroutine nur 193 als schädlich melden, das entspricht einer Erkennungsrate von nur 15,3 Prozent.
Mithilfe des Onlinedienstes VirusTotal prüfte Jiang die Test-Samples in einem zweiten Versuch auch mit zehn anderen Antivirenprogrammen. Für diesen Versuch wählte der Professor per Zufallsprinzip ein Sample pro Malware-Familie aus. Während die Erkennungsrate der Antivirenprogramme zwischen 51 und 100 Prozent lag, schnitt die Android-Prüfroutine mit 20,4 Prozent auch hier schlecht ab.
App-Identifikation mit Mängeln
Die neue Android-Sicherheitsfunktion hat also noch Steigerungspotenzial, wie Jiang festhält. Er kritisiert auch, dass die Prüfroutine die Apps lediglich mit einer Cloud-Datenbank abgleicht und dazu nur einen SHA1-Hash (eine Art Prüfsumme) sowie den Namen der Installationsdatei zur Identifikation herbeizieht. Dabei sei es ein Leichtes, die Prüfsumme eines Programms abzuändern, denn dazu reicht bereits die kleinste Änderung am Installer. Ausserdem habe der App Verification Service gegenüber herkömmlichen Antivirenprogrammen den Nachteil, dass keine lokale Überprüfung der installierten Programme stattfindet. Dies sei allerdings auf mobilen Geräten auch schwierig zu bewerkstelligen, räumt er ein.
Besserung in Sicht
Schon bald könnte Googles Malware-Prüfdienst aber deutlich effektiver sein. Denn der erwähnte Onlineprüfdienst VirusTotal gehört seit September Google. Noch wird der Dienst nicht zur Überprüfung mit der integrierten Android-Routine beigezogen, doch dies könnte sich bald ändern – und dann würde die Erkennungsrate auf einen Schlag bei annähernd 100 Prozent liegen.
Ein Detail am Rande: Momentan profitiert ohnehin erst ein sehr kleiner Anteil aller Android-Nutzer von der neuen Sicherheitsfunktion. Denn diese wurde ja erst mit dem Mitte November veröffentlichten Android 4.2 eingeführt, das derzeit erst auf einer Handvoll Geräte läuft (Nexus 4, Nexus 7, Nexus 10 und Galaxy Nexus).


Kommentare

Es sind keine Kommentare vorhanden.