Android-Smartphones, deren Betriebssystem älter als Version 4.4 ist, müssen mit einem gefährlichen Sicherheitsproblem leben, das Google nicht mehr beheben wird. Ein Browser-Wechsel hilft nur teilweise - sind Antiviren-Apps vielleicht die Lösung?

Millionen Besitzer eines Smartphones mit Android 4.3 oder älter haben haben ein dickes Sicherheitsproblem, mit dem Google und die Hersteller sie alleine lassen. Die Webview-Komponente des Betriebssystems enthält in den älteren Versionen des Betriebssystems mehrere Sicherheitslücken, die durch keine Updates mehr geschlossen werden. Da vor allem der veraltete Standard-Browser betroffen ist, rät Android-Sicherheitschef Adrian Ludwig in einem Google-Plus-Eintrag, zu den aktuell gehaltenen und sicheren Alternativen Chrome oder Firefox zu wechseln.

Die Nutzer sind damit aber noch lange nicht auf der sicheren Seite. Denn wie Ludwig am Ende seines Eintrags nur andeutet, dient Webview auch in vielen anderen Apps zur Darstellung von Web-Inhalten, unter anderem auch von Werbung. Der Google-Mitarbeiter ruft Entwickler zwar dazu auf, ihre Anwendungen abzusichern, doch davon können sich Nutzer nichts kaufen. Denn sie müssen davon ausgehen, dass werbefinanzierte Apps oder andere Anwendungen, die Web-Inhalte einblenden, eine Bedrohung darstellen könnten, der sie schutzlos ausgeliefert sind.

Schützt Google gut genug?

Hilft vielleicht die Installation einer Antivirus-App? Nun, die Wirksamkeit dieser Anwendungen ist grundsätzlich umstritten. Adrian Ludwig hält sie sogar für völlig überflüssig. Googles Kontrollen seien absolut ausreichend, Malware-verseuchte Anwendungen kämen nicht in den Play Store, das Risiko, eine schädliche App zu installieren, sei außerordentlich gering, sagt er.

Zumindest bisher lag er damit weitgehend richtig. Zwar tauchte hin und wieder auch im Play Store eine bedrohliche Anwendung auf, doch von Malware-Apps sind hauptsächlich Nutzer betroffen, die Programme aus alternativen Quellen installiert haben. Vor allem in China, wo es viele Android-Geräte ohne Play-Store-Lizenz gibt. Selbstständig verbreiten kann sich Android-Malware nicht. Denn im Gegensatz zu dem, was der Namen von Schutz-Apps suggeriert, gibt es überhaupt keine Android-Viren. Grundsätzlich gilt: Wer Apps ausschließlich aus Googles Play Store bezieht und darauf achtet, dass sie nicht brandneu und ohne jede Bewertung sind, wird sich kaum einen Schädling einfangen.

Machtlose Wächter

Klaus Wedekind (Redakteur Technik)

Folgen:

Zwar gibt es theoretisch durchaus Möglichkeiten, Googles 2012 eingeführten Play-Store-Türsteher "Bouncer" zu überwinden, wie unter anderem die Studie "Rage Against the Virtual Machine" zeigt. Anti-Maleware-Apps können in solchen Fällen aber noch weniger ausrichten, da ihre Möglichkeiten deutlich begrenzter als die von Googles Wächter sind. Im Prinzip können solche Programme nicht viel mehr als in Datenbänken nachsehen, ob eine App dort als Bedrohung aufgeführt wird. Das liegt am Sandbox-Prinzip, dem auch Schutz-Anwendungen unterliegen. Das bedeutet, Apps laufen in einem eigenen Prozess mit einem eigenen Bereich in Hauptspeicher und Dateisystem. Sie haben grundsätzlich keinen Zugriff auf andere Anwendungen oder empfindliche Systembereiche.

Zwar können sich Apps über eingeforderte Berechtigungen zusätzliche Freiheiten einräumen. Doch Internetzugang, SMS-Versand, GPS-Ortung oder Zugang zu den Kontakten sind Möglichkeiten, mit denen zwar Malware-Apps schlimmen Schaden anrichten können. Bei der Erkennung möglicher Gefährdungen helfen sie aber kaum. Das hat 2013 auch eine Analyse des Fraunhofer AISEC ergeben, an deren Gültigkeit sich wenig oder gar nichts geändert. Mit Root-Rechten können Anti-Malware-Apps zwar mehr anrichten, allerdings verschaffen sich nur wenige Android-Nutzer Administratorrechte. Und weil dies wie beim PC mit zusätzlichen Risiken einhergeht, ist Normal-Nutzern davon auch abzuraten.

Angriff nicht erkennbar

Den bis zu 900 Millionen Menschen weltweit, deren Geräte von den nicht geschlossenen Webview-Lücken betroffen sind, hilft eine gut gepflegte Datenbank mit bekannten Schädlingen noch weniger. Denn in diesem Fall können eigentlich völlig ungefährliche Apps, die sämtliche Google-Prüfungen bestanden haben, aus dem Internet Schadcode aufs Handy oder Tablet bringen.

Für einen zuverlässigen Schutz müssten Anti-Maleware-Apps erkennen können, wenn über eine Webview-Lücke Schadcode aufs Gerät geschmuggelt wird. Doch AV-Test-Experte Hendrik Pilz hält dies für unwahrscheinlich, da die Überwachung auf der für normale Apps nicht erreichbaren Netzwerkprotokollebene stattfinden müsste. Theoretisch könnten vom Hersteller vorinstallierte Schutzprogramme entsprechende Rechte haben, sagt Pilz, doch für das akute Webview-Problem sieht er keine Lösung.

So bleibt betroffenen Nutzern nur, werbefinanzierte Apps durch kostenpflichtige zu ersetzen und Apps in ihren Einstellungen den Einsatz eines internen Browsers zhu untersagen. Darauf, dass App-Entwickler oder Anbieter von Werbebannern ihre Software anpassen, sollten sie nicht unbedingt vertrauen.