Trojaneralarm und das Geschäft mit der Angst

Gestern war hier im Blog der Beitrag Spiele mit Trojaner im Android Market zu lesen. Dieser Beitrag hatte einen entscheiden Fehler, denn Ich als Autor habe den Inhalt sowie die Funktionen der „Werbesoftware“ als Trojaner bezeichnet, ebenso wie das Sicherheitsunternehmen Symantec dies tat. Beim Tippen des Beitrages habe ich mir um die Bezeichnung allerdings recht wenig Gedanken gemacht, da es mir mehr um die Warnung vor einigen betroffenen Apps ging, die zu diesem Zeitpunkt immer noch im Android Market vorhanden waren. Etwas leichtsinnig von mir, wie sich später herausstellte, denn die Entrüstung war groß.

Ich habe mir jetzt viel zu diesem Thema durchgelesen und bin auf Worte wie „Entwarnung“ oder „Hokuspokus“ gestoßen. So sehr ich mir eingestehen kann, dass es ich bei der Entdeckung von Symantec nicht um einen Trojaner handelt, so sehr könnte ich auch kotzen, wenn ich dieses scheinheilige Kleinreden jetzt vernehmen muss. Bis zur Warnung von Symantec, die übrigens das „Risk Level 1: Very Low“ trägt, habe ich nichts über das Apperhand-SDK und den darin integrierten Service gewusst. Eine einfache Google-Suche zeigt, dass ich da wohl nicht der einzige war. Ich kannte weder die Firma dahinter, noch das SDK (Entwicklerwerkzeug) oder dessen Funktionen. Wer zudem die Definition von Trojaner und Adware mal liest, wird merken, dass beide gar nicht so weit auseinander liegen.

Bei Symantec kante man dieses SDK wohl auch nicht, aber etwas anderes und zwar den Schädling Android.Tonclank, der bereits im Juni 2010 die Runde machte. Android.Tonclank wurde damals auch mit dem „Risk Level 1: Very Low“ eingestuft. Dieser hat verschiedene Daten ausgelesen, konnte per Backdoor Daten nachladen und hat auf dem Smartphone anfallende Daten gesammelt und weitergeleitet. Unschön und zumindest so undurchsichtig, dass diesen keiner auf seinem Smartphone haben wollen würde. Sogar so unschön, dass er heute von fast allen mobilen Schadsoftware-Scannern als Bedrohung erkannt wird.

Jetzt findet Symantec also Android.Counterclank. Aus dem nichts? Nein, sondern weil dieser in einigen grundlegenden Punkten Gemeinsamkeiten mit Android.Tonclank hatte und darum als schädlich eingestuft wurde. Zwar sind hier diverse Berechtigungen vor der Installation einer App mit Android.Counterclank sichtbar, aber ich muss wohl hier keinem erzählen, dass dies (vermutlich) Millionen Nutzer nicht abgehalten hat, diese Apps dennoch zu installieren.

Ist die Warnung vor Android.Counterclank also berechtigt? Sind Worte wie Entwarnung oder Hokuspokus passend? Wenn man nach einem der größten Konkurrenten von Symantec geht ja, das Unternehmen Lookout hat nämlich kurz nach Bekanntwerden einen Blogpost veröffentlicht, in dem es die Meldung rund um Android.Counterclank entschärften wollte. Wer diesen mal genau liest, dem wird auffallen, dass man darin viel um den heißen Brei herumredet, alle zwei Absätze betont, dass man ebenso denkt, dass Nutzer so etwas nicht auf dem Smartphone haben sollten. Aber am Ende zu einem Fazit kommt: Solche Software wird in nächster Zeit zunehmen und rein zufällig arbeitet man bei Lookout aktuell an einer Lösung, die solche Software besser erkennt und besser unterscheidet, wie bedrohlich etwas ist. Ja sowas aber auch!

Bevor ich weiter auf den Blogbeitrag von Lookout eingehe, der nicht mehr oder weniger einen kommerziellen Hintergedanken hat, als jede andere Meldung von Firmen die Antivirensoftware vertreiben, schauen wir uns vorher noch an, wozu Android.Counterclank eigentlich auf einem Android-Gerät in der Lage ist.

  • Er kann selbstständig Lesezeichen auf das Gerät kopieren
  • Er kann selbstständig die Startseite des Browsers ändern
  • Er kann selbstständig Verknüpfungen auf den Homescreen ablegen
  • Er kann Aktivitäten auf dem Android-Gerät mitschneiden
  • Er kann Informationen aus dem Gerät auslesen, auf die auch diverse andere Apps zugreifen können z.B. Hersteller, Modell, Betriebssystem
  • Im Fall von Apps des Entwicklers „Ogre Games“ konnte auch ausgelesen werden: die Android ID, eure IMEI, die IMSI, die Mac Adresse, die Seriennummer der SIM-Karte
  • Er kann eigenständig Kontakt mit zwei Webadressen aufnehmen und wäre somit in der Lage Daten darüber auszutauschen

Klingt nach etwas, was man nicht gerne auf seinem Smartphone haben möchte, oder? Würde ich all diesen empörten Menschen anbieten, ihnen eine super tolle App zu schenken, in der ein weiterer Dienst im Hintergrund oben genannte Dinge macht, hätten sie dann alle mit gutem Gewissen zugeschlagen? Wohl kaum.

Aber warum sagt dann Lookout „keine Panik“? Gute Frage, doch viel interessanter ist ja, warum würde keiner oben genannte Dinge auf seinem Smartphone wollen und warum hat Google sämtliche betroffene Apps aus dem Android Market gekickt? Ich denke wir müssen nicht darüber streiten, dass es generell dem Markt kostenloser Apps schadet, wenn zur Refinanzierung oder auch zur reinen Geldmache solche Dinge in Apps eingebaut werden. Ich denke auch, dass Google, Symantec und auch Lookout durchaus bewusst ist, dass es bei einem Großteil der Nutzer überhaupt nichts bringt, Berechtigungen aufzulisten.

Betriebsblindheit ist hier das Stichwort, denn auch gefühlt jede zweite „gute“ App benötigt alleine durch Werbenetzwerke etc. heutzutage Berechtigungen, die, wenn man es genau nimmt, auf keine Kuhhaut gehen. Man macht es sich zu einfach, wenn man sagte „da ist doch jeder selbst dran schuld“, denn in der Praxis verliert man leicht den Überblick in Sachen Berechtigungen. Selbst ich finde nicht für jede Berechtigung in jeder von mir lieb gewonnen App eine Begründung.

Nochmal zurück zu Lookout. Dass sich einer der größten Konkurrenten der Firma vertan hat und eine Schadsoftware „Trojaner“ statt „Adware“ genannt hat, ist natürlich ein gefundenes Fressen, wenn man kurz vor dem Launch einer eigenen Lösung steht, welche genau diese Probleme lösen soll. – „… and we’re actively working on a solution …“ – Jeder der jetzt sagt „schiebt keine Panik, Lookout erklärt das im hauseigenen Blog in Ruhe“, sollte sich vorher mal mit Lookout beschäftigen. Ich habe das bereits in der Vergangenheit getan und zitiere mich mal selbst aus einem älteren Beitrag von mir, in dem es um exakt solch eine Warnung wie die jetzige von Symantec ging:

Wer sich mal im “Newsroom” von lookout, so heißt die Firma, welche die Warnung für Android-Smartphones herrausgegeben hat, umschaut, dem wird schnell so einiges klar. Die Berichterstattung darüber sollte natürlich in genau dieser Weise fokussiert werden.

Bereits im Jahr 2009, kurz nach Gründung von lookout, berichte bekannte US-Medien mit u.a. folgenden Schlagzeilen und deren Lösungen durch lookout, die im Inhalt des Artikels “zufällig” erwähnt werden. Manche Artikel lesen sich sogar wie gekaufte Werbebeiträge.

  • CNET, 30. Juli 2009: “An SMS can force a URL or app on smartphones” – Lösung: Klar, die lookout-Software für Smartphones
  • U.S. News & World Report, 30. Juli 2009 “U r pwned: text messaging paves way for hacking” – Lösung: Klar, die lookout-Software für Smartphones
  • The New York Times, 20. Dezember 2009 “As Phones Do More, They Become Targets of Hacking” – Lösung: Klar, die lookout-Software für Smartphones
  • Forbes.com, 22. Dezember 2009 “The New Look Of Mobile Security” – Werbepost für: Klar, die lookout-Software für Smartphones
  • Engadget.com, 12. Januar 2010 “Android photo backup app reveals burglars’ identities, stupidity” – Retter in der Not: Klar, die lookout-Software für Smartphones
  • 18. Mai 2010 lookout erhält 11 Millionen Dollar Finanzspritze für die eigene Smartphone-Sicherheits-Plattform, techcrunch berichtete.
  • Fox News, 03. Juni 2010 “10 Bizarre-but-True Ways Your Home Is Susceptible to Hackers” – Lösung: Klar, die lookout-Software für Smartphones
  • Reuters, 04. Juni 2010 “Hackers plant viruses in Windows smartphone games” – Lösung: Klar, die lookout-Software für Smartphones
  • CNET, 04. Juni 2010, “Malware found lurking in apps for Windows Mobile” – Lösung: Klar, die lookout-Software für Smartphones
  • eWeek, 07. Juni 2010 “Malware Hidden in Windows Mobile Applications” – Lösung: Klar, die lookout-Software für Smartphones
  • 30. Juni 2010 Wie von Geisterhand erreicht die Smartphone-Sicherheits-Plattform lookout 1 Million Nutzer, techcrunch berichtete.

Das Finale ist dann die Pressemitteilung vom 27. Juli 2010: “Lookout Mobile Security Announces App Genome Project, Largest Study of Mobile Application Security Ever Conducted with Nearly 300k Applications“.

Irgendetwas fällt auf, oder? Immer wenn lookout eine Pressemitteilung rausgegeben hat oder sich der CEO öffentlich geäußert hat, wurde dies dankend von den größten Medien weltweit aufgenommen und verwertet. Kurz darauf stand eine passende Software bzw. Lösung von Lookout bereit.

Zuletzt haben wir dies beim Thema Carrier IQ erlebt. Hier hatte Lookout nicht nur blitzschnell ein eigenes Tool und die passenden Infos im Pressebereich, sondern auch eine Auswertung über die Verbreitung zur Hand. Vorgefertigt als Presseinfo und leicht verständlich. Es ist ein Geschäft mit der Angst. Das war es schon immer, auf dem PC-Markt genau so wie jetzt auf dem mobilen Markt. Wichtig und richtig ist aber, die Dinge differenziert zu betrachten.

Ja, ich mag Sicherheitsfirmen auch nicht sonderlich und ja ich weiß, dass diese mit entsprechenden Warnungen die Verkäufe ihrer eigenen Software pushen können, aber das heißt im Umkehrschluss eben nicht, dass es nicht wert ist, vor solchen Dingen wie Android.Counterclank und seinen Verwandten zu warnen. Ob solche Software nun Adware, Trojaner, Maleware oder DingDongWare heißt, ist mir eigentlich ziemlich egal. Am Ende ist interessant was sie macht, wie man sie sich einfängt und wie man sie wieder entfernt.

Sicherheitsfirmen machen Fehler, Blogger und Medien machen Fehler und Nutzer machen Fehler, die Aufregung über diese Fehler sollte aber nie zum Anlass genommen werden, solche Dinge runterzuspielen. Firmen wie Lookout bloggen über dieses Thema, weil sie sich selbst promoten wollen und erreichen möchten, dass ihr irgendwann mal ihre Software kauft. Ich habe darüber gebloggt, weil ein paar betroffene Apps noch im Android Market vorhanden waren und ich darüber informieren wollte.

Ich hätte es nicht Trojaner nennen dürfen, aber ich nenne es gerne und mit voller Überzeugung einen Haufen Scheiße, der nichts auf eurem Smartphone zu suchen hat. Ob Werbenetzwerk, Hacker aus Fernost oder sonst was, ist dabei im Grunde egal. Ich will nicht, dass sich der Markt so entwickelt. Ich will nicht, dass Firmen in ihre SDKs solche Mittel einbauen und Entwickler diese nutzen. Ich kann mich nicht mit jeder Softwareklitsche intensiv beschäftigen, ehe ich mir eine werbefinanzierte App lade. Zu naiv? Vielleicht, aber nicht weniger naiv, als so zu tun, als sei es eine ganz „normale Marktentwicklung“, dass uns solche Apps im Hintergrund ausspionieren können.

Teilen

Hinterlasse deine Meinung
Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.