Sicherheits-Apps für Android sind unsicher

Smartphones und Tablet-PCs mit Android sind weit verbreitet – und damit auch ein beliebtes Ziel von Cyberkriminellen. So mancher Nutzer versucht sich vor Ransomware und andere Malware mit einer Sicherheits-App für sein Android-Gerät zu schützen. Doch wie das Fraunhofer-Institut für Sichereits-Informationstechnologie (SIT) in Tests herausgefunden hat, bieten viele Sicherheits-Apps nur einen trügerischen Schutz: Sie haben schwerwiegende Sicherheitslücken. Schätzungen zufolge sind weltweit bis zu 675 Millionen Geräte betroffen.

Die Experten des Fraunhofer-Instituts schauten sich die aktuellen Versionen der Sicherheits-Apps von bekannten Anbietern wie Avira, Kaspersky, McAfee, Eset und Clean Master Security an. Das traurige Ergebnis: In allen analysierten Apps wurden Sicherheitslücken gefunden. Dadurch können Hacker zum Beispiel die App in ein Angriffswerkzeug umwandeln und Smartphones übernehmen, um dann vom Besitzer Geld zu erpressen.

Die Sicherheitslücken erlauben das Abschalten der Schutzfunktion der Sicherheits-App – der Nutzer merkt davon nichts. Auch das Klauen von persönlichen Daten wie die Inhalte des Adressbuchs oder des Kalenders war im Test möglich.

«Wir haben die Hersteller umgehend über die Sicherheitslücken informiert. Die überwiegende Mehrheit hat sofort reagiert und die Sicherheitslücken geschlossen», so Michael Waidner, Leiter des Fraunhofer SIT. „Auf Smartphones, auf denen die Apps automatisch Updates aus den App-Stores herunterladen, sind die Sicherheitsprobleme behoben. Sofern Nutzer keine automatische Updatefunktion aktiviert haben, sollten sie die eigenen Apps umgehend aktualisieren, um sich vor möglichen Angriffen zu schützen.»

Doch wie kann es sein, dass Apps, die eigentlich für Sicherheit sorgen sollen, solche Sicherheitslücken aufweisen? Laut den Sicherheitsexperten des Fraunhofer SIT liegt die wesentliche Ursache für viele der gefundenen Schwachstellen darin, dass die Apps im Stundentakt Update-Informationen auf das Smartphone oder Tablet laden. Dabei handelt es sich zum Beispiel um Signaturen für die Erkennung neuer Schädlinge. Diese Updates kommen direkt von den Servern der Hersteller. Die Apps prüfen dabei nicht ausreichend, ob die Updates unter Umständen manipuliert wurden.

«Ist der Kanal, durch den das Update heruntergeladen wird, angegriffen worden, kann Code nach dem Man-in-the-Middle Prinzip eingeschleust werden», erklärt Waidner. Eine Möglichkeit für einen solchen Angriff wäre zum Beispiel ein öffentliches Funknetz.

Weitere detaillierte Informationen zu den einzelnen Sicherheitslücken in den analysierten Security-Apps stellt das Fraunhofer SIT in einem PDF-Dokument zur Verfügung.