Adware
In den meisten Fällen sind die „kostenlosen“ Android-Apps, die Sie von Google Play herunterladen, nicht kostenlos. Die Entwickler programmieren Apps nicht nur, weil sie Ihnen und der Gesellschaft etwas Gutes tun möchten. Wie die meisten Online-Services, die nicht nach einer traditionellen Vorauszahlung fragen, arbeitet auch das Geschäftsmodell mobiler Apps mit Werbung und In-App-Einkäufen.
Während der Entwicklung wird oft eine Ad-Library eines Drittanbieters in die App eingebunden. Ist die App dann auf Google Play erhältlich und wird von Android-Nutzern heruntergeladen, ist dieser Drittanbieter dafür verantwortlich, dass Werbung in der App angezeigt und der Entwickler ausgezahlt wird. Weder der Entwickler, noch der Anwender haben die Kontrolle darüber, was diese Ad-Library macht, welche Informationen sie sammelt, welche Werbung sie anzeigt oder wie Sie mit dem Gerät des Anwenders interagiert. Manche Ad-Librarys sind unkompliziert und verantwortungsbewussst. Manche dagegen sind hinterlistig und rücksichtslos.
Eine populäre Ad-Library die oft auf Android-Geräten zu finden ist, enthält eine Handvoll agressiver und aufdringlicher Funktionen, sowieeine Vielzahl dynamischer und potenziell ausnutzbarer Sicherheitslücken. Sie wurde als Teil verschiedener Apps über 200 Millionen Mal heruntergeladen. Das Verhalten dieser Library ist so rücksichtslos, dass die Forscher vonFireEye, die sie analysiert haben, ihren Namen nicht nennen möchten, sondern ihr den Namen „Vulna“ gegeben haben, eine Mischung aus „vulnerable“ (angreifbar) und „agressiv“.Wie viele Ad-Librarys, hat auch Vulna die Fähigkeit, vertrauliche Daten zu sammeln, etwa den Inhalt von SMS-Nachrichten, den Telefonverlauf und die gespeicherten Kontakte. Zusätzlich – und das ist noch besorgniserregender – können Vulna-Werbeanzeigen auf Android-Geräten auch heruntergeladenen Code ausführen (also Dinge installieren).
Richtig schlimm wird das Ganze, da die Liste der Sicherheitslücken von Vulna bedeutet, dass Hacker die zahlreichen Fehler der Library ausnutzen, die Kontrolle über deren Funktionen übernehmen und sie für die eigenen illegalen Zwecke missbrauchen können. Mit anderen Worten (und das ist der Grund, warum FireEye den Namen der Library nicht nennt): Die Millionen von Geräten, auf denen Vulna Werbung anzeigt, sind theoretisch für eine Menge Angriffe anfällig.
Durch die Sicherheitslücken, die vor allem damit zu tun haben, dass die Daten zwischen den Vulna-Servern und dem Android-Gerät unverschlüsselt übertragen werden, kann ein kompetenter Angreifer theoretisch unter anderem die folgenden Dinge anstellen: Codes von Zwei-Faktoren-Authentifizierungen stehlen, die über SMS gesendet werden, Fotos und gespeicherte Dateien ansehen, schädliche Apps und Icons auf dem Home-Bildschirm installieren, Dateien und Daten löschen, sich als Besitzer des Geräts ausgeben, um Phishing-Attacken zu starten, ankommende SMS-Nachrichten löschen, Telefonanrufe durchführen, heimlich die Kamera nutzen, und Lesezeichen ändern, so dass sie auf schädliche Webseiten führen. Andere Möglichkeiten sind das Spionieren auf betroffenen Geräten, die über öffentliche WLAN-Netze online gehen, die Installation von Botnetz-Schadprogrammen, sowie das Übernehmen der Domain-Name-Server von Vulna, wordurch Angreifer die Anfragen an den Werbeserver auf ihre eigenen, schädlichen Seiten umleiten können, was so ähnlich bei dem bekannten Angriff auf Twitter und die New York Times passiert ist.
Hinzu kommt noch, dass es durch die Art, wie Vulna HTTP-Kommandos vom Server empfängt, für den Anwender schwer ist, überhaupt zu wissen, ob auf seinem Gerät eine App installiert ist, die mit Vulna verbunden ist. Denn sein Programmcode ist eigenentwickelt und geschützt (also kein Open Source), so dass er nur von den Entwicklern eingesehen werden kann. Und es ist generell schwer einzuschätzen, was das Werbenetzwerk zu einem bestimmten Zeitpunkt macht.
Glücklicherweise hat FireEye die wahre Identität von Vulna nicht verschwiegen, als sie Google und die für Vulna verantwortliche Firma kontaktiert haben. Erst gestern hat FireEye angekündigt, dass sowohl Google als auch die verantwortliche Firma einige positive Änderungen vorgenommen haben. Google hat einige der Apps, die das Vulna-Verhalten am offenkundigsten ausgenutzt haben,sowie die Konten der dafür verantwortlichen Entwickler gelöscht. Viele Entwickler haben ihre Apps mit der aktuellen, weniger gefährlichen Vulna-Version aktualisiert, während andere Vulna komplett aus ihren Apps verbannt haben. Leider werden wie immer viele Android-Anwender ihre installierten Apps nicht aktualisieren, so dass sie weiterhin angreifbar bleiben. FireEye geht sogar davon aus, dass etwa 166 Millionen Downloads nach wie vor die schlechte Version von Vulna enthalten.
Wir empfehlen natürlich jedem, Updates zu installieren. Denn wenn Sie das nicht tun, kann Ihnen bei Problemen so gut wie niemand helfen. Und Sie sollten bei Adware immer aufpassen. Kostenpflichtige Versionen von Apps scheinen manchmal Geldverschwendung zu sein, wenn es doch kostenlose Varianten mit den gleichen Funktionen gibt. Doch die Wahrheit ist, dass nichts kostenlos ist. Die meisten so genannten „kostenlosen“ Apps werden durch Werbung finanziert und – wie der Fall Vulna anschaulich zeigt – ist es oft unmöglich, sicher zu wissen, was Ad-Librarys machen und wie sie gepflegt werden.
Stellen Sie sich kurz vor, dass ein Angreifer die DNS-Server von Vulna übernimmtund alle Klicks auf dessen Werbebanner auf eine Seite umleitet, auf der ein Login-Daten stehlender Bank-Trojaner lauert. Dann könnten die Bankkonten von Millionen von Anwendern plötzlich kompromittiert werden. Die Kosten, sowohl in Bezug auf Zeit als auch Geld, die entstehen, wenn ein Bankkonto wiederhergestellt werden muss, übersteigen garantiert die paar Euro, die es kostet, eine App ohne Werbeeinblendung zu kaufen. Natürlich gibt es nicht alle Apps in einer kostenpflichtigen Variante, und manche sind auch zu teuer. Doch Sie sollten zumindest die Befugnisse, die Sie einer App gewähren, genau lesen und regelmäßig überprüfen, und darin enthaltene Installationen von Drittanbietern wenn möglich ausschalten.
Tipps