Googles Wachhund zu zahm. Von Alexander Kuch

«Bouncer» schützt Play-Apps unzureichend

Googles Wachhund zu zahm

publiziert: Freitag, 3. Aug 2012 / 20:04 Uhr

Google ist gefordert.

auf facebook teilen

Die «Bouncer» genannte Sicherheitsüberprüfung im Google Play Store lässt sich leicht austricksen. Vor einigen Tagen verrieten Hacker auf einer Konferenz, wie es möglich ist, bösartigen Code in den Android-Appstore zu schmuggeln.

2 Meldungen im Zusammenhang

Im Februar hatte Google erstmals erklärt, wie der «Wachhund» Bouncer funktioniert: Die Sicherheitsroutine gleicht alle vorhandenen und neuen Apps regelmässig mit einer Datenbank ab, die jede bekannte Form von Schadcode enthält. Und genau dieses System konnten die Sicherheitsexperten nun durch ein besonderes Verfahren umgehen.

«Gute» App wird später mit Schadcode angereichert

Die Experten luden eine «gute» App in den Play Store hoch, die alle Sicherheitsprüfungen bestand. Das «SMS Bloxor» genannte Programm sollte der Filterung ankommender SMS dienen, hatte aber lediglich den Zweck, den Bouncer zu testen. Mit einem Preis von 50 Dollar bestand kaum Gefahr, dass ein Anwender die App aus Versehen kaufte. Nachdem die App erst einmal im Play Store angekommen war, luden die Entwickler über Javascript-Bridge-Updates nach und nach Schadcode in das Programm. Bei diesem Verfahren muss die App selbst nicht neu installiert werden. Anschliessend ermittelten die Experten den IP-Adressenbereich des Bouncers und liessen die App den Schadcode nur ausserhalb dieser «Überwachungszone» ausführen.

Danach wollten die Hacker wissen, wann der Wachhund endlich anschlagen würde. Ein Ausschalten der IP-Sperre bewirkte noch keine Änderung - der Schadcode liess sich problemlos weiter ausführen. Danach begann die App damit, Fotos und die Telefon-ID auszulesen und die Liste der Anrufer zu kopieren. Schliesslich liessen die Experten die App im Sekundentakt eine Kopie des Adressbuchs an einen externen Server schicken. Erst dann blockierte Bouncer den Entwickleraccount und entfernte die App aus dem Play Store.

Für die Lösung des Problems gibt es nach Auffassung der Sicherheitsexperten zwei Möglichkeiten. Auf der einen Seite könnte Google das interne Update-Verfahren über die Javascript-Bridge abstellen - damit wäre bei jeder Code-Änderung ein kompletter Neu-Upload in den Appstore notwendig. Andererseits könnte man die Sicherheitsprüfung auf das Smartphone des Nutzers verlagern - dazu müsste der Bouncer eine feste Systemkomponente von Android werden. Auf jeden Fall besteht für Google nun Handlungsbedarf.

(Alexander Kuch/teltarif.ch)

Lesen Sie hier mehr zum Thema

Mobile Schadsoftware wird immer raffinierter

Der Sicherheitssoftware-Hersteller ... mehr lesen

Ein neuer Trend sei laut F-Secure, dass Schadsoftware versuche, sich besser zu tarnen.

Google verbannt gefährliche Android-Apps

Google verschärft den Kampf gegen schädliche Anwendungen für Android-Smartphones. mehr lesen

Android

news.ch geht in Klausur

Digitaler Strukturwandel Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21

Weitere Meldungen

Das Galaxy S22 ist nah an der Perfektion.

Kurz gesagt: Was macht das S22 so anders?

Publinews Samsung hat seine neue Galaxy S22-Serie auf dem letzten Samsung Event am 9. Februar vorgestellt. Hier verraten wir Ihnen, welche Innovationen sich der Hersteller ausgedacht hat und ob das Upgrade vom Vorgänger Ihr Geld wert ist. mehr lesen

Mit Augmented Reality Spinnenangst bekämpfen

Forschende der Universität Basel haben eine Augmented-Reality-App für Smartphones entwickelt, um Angst vor Spinnen zu reduzieren. Die App hat sich in einer klinischen Studie bereits bewährt: Schon nach ... mehr lesen

Eine virtuelle Spinne in der App Phobie.

Das Leica Leitz Phone 1 setzt neue Kameramassstäbe bei Smartphones.

Leica bringt eigenes Telefon Leitz Phone 1 auf den Markt

Fotografie Der Premium-Kamerahersteller Leica bringt sein erstes Telefon auf den Markt: Das Leitz Phone 1 wird seit dem 16. ... mehr lesen

Suchmaschine Quant bekommt Kredit von Huawei

8 Millionen Euro-Finanzspritze Die französische Suchmaschine Quant soll das Monopol von Google in Europa brechen und den europäischen Datenschutz berücksichtigen. Nun nimmt das Unternehmen einen Kredit von acht Millionen Euro in Form von Wandelanleihen vom chinesischen Telekommunikationsunternehmen Huawei in Anspruch. mehr lesen

Weitere Android - Meldungen

Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
Source: http://www.egadgets.ch/ajax/top5.aspx?ID=597&col=COL_2_1

keinschaf aus Wladiwostok 2826
grüezi Wie lasterhaft Mitleid mitunter sein kann, beweisen Sie doch gerade ... Mo, 26.12.16 20:05
Kassandra aus Frauenfeld 1781
Vom Tode träumt ein negrophiles Schäfchen doch ständig. Wenn tausende Frauen in England ... Mi, 28.09.16 11:58
HentaiKamen aus Volketswil 1
Kommt wieder Aber leider eine RIESEN Verlust für Leser wie mich die nicht mit dem ... Sa, 13.08.16 01:13
keinschaf aus Wladiwostok 2826
sogar nach dem Tode hat die Kassandra noch die grösste Schnauze... jaja, diese ... Fr, 12.08.16 16:30
Kassandra aus Frauenfeld 1781
Wow, wie hat sich die gute Kubra gemausert! Ich danke auch Ihnen ganz persönlich für die vielen harten und ... Mi, 20.07.16 20:25
Pacino aus Brittnau 731
Übrigens, wusstet ihr schon . . . . . . dass die Foren von AZ (Wanner), 20min. und Schweizer Fernsehen ... Mi, 29.06.16 15:20
PMPMPM aus Wilen SZ 235
Und jetzt? Ist noch online...? Liebes news-Team, schade ist die Situation so, dass etwas aufhören ... Di, 28.06.16 22:43
kubra aus Berlin 3232
Danke für die gelebte Pressefreiheit. Damit mein ich durchaus auch den ... Di, 28.06.16 16:09

Werden Menschen in den USA jetzt besser vor zielgerichteter Werbung geschützt?

DOSSIER Social Media Zielgerichtete Werbung in den USA unter Beschuss Politiker der Demokratischen Partei haben ...

Freie Stellen aus den Berufsgruppen Software Programmierung, Web Programmierung, Mobile
Senior Embedded Software Engineer 80- 100% (f/m/d)
Wetzikon - DAS ÖFFNET DIE TÜR ZU IHRER ZUKUNFT: IHRE AUFGABEN - Sie sind verantwortlich für die Neu- und... Weiter
DevOps Java Engineer (m/w) 80-100%
Bern - Unser Kunde ist ein innovatives und aufstrebendes IT-Unternehmen, welches sich auf... Weiter
Embedded C / C++ Software Engineer (m/w)
Uster - Unser Kunde bietet moderne Software-Lösungen für unterschiedliche Branchen an und ist ein... Weiter
Datenbank Spezialist (m/w) 80-100%
Zürich - Unser Kunde bietet seit drei Jahrzehnten IT-Lösungen für höchste Ansprüche an. Software,... Weiter
Senior Java Full-Stack Engineer 80 - 100% (m/w)
Bern - Unser Kunde ist ein in der Cyber-Security angesiedeltes Unternehmen, welches schweizweit vertreten... Weiter
Senior Java Software Engineer
Zürich - Deine Aufgabe Als Software Entwickler implementierst Du innerhalb der Entwicklungsteams... Weiter
Junior Software Engineer (JAVA/.NET)
Zürich, Bern oder Basel - Deine Aufgabe Entwicklung innovativer Web- und mobiler Anwendungen mit modernsten Tools und agilen... Weiter
Junior Software Engineer
Zürich - Deine Aufgaben Als Software Engineer implementierst Du innerhalb des Entwicklungsteams... Weiter
Software-Ingenieur / Applikationsentwickler
Bern - Software-Ingenieur / Applikationsentwickler (m/w/d) 60-70% - Python/Keycloak/Active Directory/CICD... Weiter
Test Manager
Zug - Test Manager - Software Testing / Jira / HP ALM / test processes / global collaboration / English /... Weiter
Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.

Möchten Sie zu diesen Themen eine eigene
Internetpräsenz aufbauen?

www.schadcode.ch www.handlungsbedarf.swiss www.sicherheitspruefungen.com www.appstore.net www.verfahren.org www.bouncers.shop www.filterung.blog www.aenderung.eu www.datenbank.li www.sicherheitspruefung.de www.moeglichkeiten.at

Registrieren Sie jetzt komfortabel attraktive Domainnamen!


			Heute	Mi	Do
Zürich	12°C	26°C
Basel	13°C	27°C
St. Gallen	12°C	23°C
Bern	12°C	26°C
Luzern	13°C	26°C
Genf	13°C	27°C
Lugano	14°C	29°C

mehr Wetter von über 8 Millionen Orten

Letzte Meldungen