Aktuelle Meldungen

Die meisten Entwickler verwenden werbefinanzierte SDKs, um kostenlose Apps anbieten zu können. Doch einige SDKs stellen ein Risiko für die späteren App-Nutzer dar. Zum Beispiel lässt sich das Werbe-Framework Widdit aufgrund seiner ungewöhnlichen Installationsstrategie leicht ausnutzen, um ohne Erlaubnis Funktionen zu implementieren. Untersuchungen von Bitdefender zeigen, dass es etwa 1.640 darauf basierende Apps gibt, von denen 1.122 schon wieder entfernt wurden.

Das angebotene Widdit SDK ist ein abgespecktes Download-Programm für das eigentliche SDK. Die erste Kurzvariante fordert alle benötigten Genehmigungen an, teils sogar mehr um sicherzugehen, dass alle Funktionen der späteren Versionen auf dem Mobilgerät einwandfrei funktionieren. Wenn der Nutzer die Anwendung startet, verbindet sie sich mit dem Internet, sucht nach neuen Versionen und lädt sie als JAR-Datei herunter.

„Die im ersten Schritt angezeigten Funktionsfreigaben werden nicht unbedingt vom SDK genutzt, aber möglicherweise von Features, die später in das SDK eingefügt werden“, erklärt Catalin Cosoi, Chief Security Strategist bei Bitdefender. „Unter den verrücktesten Freigaben war zum Beispiel die Erlaubnis, den Sperrbildschirm zu deaktivieren, um Audiomitschnitte zu ermöglichen oder Browser-Verlauf und Bookmarks auszulesen.“ 

Beim Erstellen von Android Apps sollten Entwickler die entsprechenden Qualitätsrichtlinien von Google beachten. Zum Beispiel sagen die Android App Development Guidelines in der Vorschrift FN-P1, dass eine App nur für die Kernfunktionalität unbedingt notwendige Freigaben anfordern sollte. Denn je mehr erlaubt ist, desto größer ist die mögliche Angriffsfläche.

Ungewöhnliche Eigenschaften

Das SDK kann spezifischen Code ausführen, wenn eines der folgenden Ereignisse auf dem Telefon entdeckt wird: Neustart, SMS-Empfang, Anruf, Installation oder Deinstallation einer App sowie eine Aktion an der GoogleCloudMessaging-Schnittstelle. Bitdefender entdeckte zwei ungewöhnliche Vorgänge bei der Implementierung des Werbe-Frameworks. Erstens findet der Download der JAR-Datei unverschlüsselt über HTTP statt. Zweitens sind keine Sicherheits- oder Integritätschecks im Download-Programm implementiert, die prüfen könnten, ob die JAR-Datei autorisiert ist oder manipuliert wurde. Dies eröffnet zahlreiche Möglichkeiten für Man-in-the-Middle-Angriffe.

„Wir haben für Testzwecke ein betrügerisches Netzwerk mit einem Proxy-Server aufgebaut, das originale Update-Anfragen von Apps abfing, die mit Widdit entwickelt worden waren“, berichtet Cosoi. „Sobald das Download-Programm die Anfrage stellte, lieferte der Proxy-Server eine leicht veränderte JAR-Datei aus, die Funktionen für unerlaubte Anrufe und SMS-Auslesen mit entsprechender Protokollierung der beiden Aktivitäten enthielt. Die heruntergeladene App griff auf die JAR-Datei zu und führte den Schadcode ohne Probleme aus.“

Solche Tricks lassen sich ohne weiteres in der Praxis realisieren. Denn die meisten Android-basierten Geräte sind mobil und verbinden sich fast ständig mit öffentlich zugänglichen WLANs, die häufig nicht ausreichend gesichert sind.

Absicherung von SDKs nötig

Es gibt inzwischen eine so große Vielzahl an Android Apps, weil Werbe-Frameworks größtenteils die Entwicklungskosten übernehmen. Doch häufig sind ihre Funktionen fehlerhaft implementiert, so dass sie von Schadprogrammen ausgenutzt werden können. Da dies häufig unter der Oberfläche geschieht und die Nutzer keine Hinweise darauf erhalten, will Clueful sie transparent über die möglichen Gefahren bei der Installation darauf basierender Apps informieren. Zu den gefährdeten Werbe-Frameworks zählt nicht nur Widdit, sondern auch Vulnia/AppLovin, wie Vlad Bordianu und Tiberius Axinte von Bitdefender kürzlich nachweisen konnten.

Die Sicherheitssoftware Clueful wurde mit der Erkennung von Widdit-basierenden Apps ergänzt. Sie lässt sich direkt auf Google Play herunterladen oder steht als eigenständiges Produkt als Teil von Premium Bitdefender Mobile zur Verfügung.

Weitere Informationen über das Unternehmen und seine Produkte finden Sie unter www.bitdefender.de.

Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören  “Produkt des Jahres 2012” von AV-Comparatives,“Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen  den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.

Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.