Glaubt man der Voraussage der Netzwerkspezialisten von Cisco, wird es bereits in diesem Jahr auf der Erde mehr mobile Geräte als Menschen geben. Einen großen Anteil daran werden die Smartphones unter Googles Betriebssystem Android haben. Vom ersten "offiziellen" Android-Gerät, dem T-Mobil G1 (bei dem es sich um das HTC Dream handelte), bis hin zum Galaxy Nexus hat sich Android schnell verbreitet und mindestens ebenso schnell weiterentwickelt. Viele Kritiker meinen, dass gerade diese Schnelligkeit bei der Entwicklung in Zusammenhang mit der Vielzahl an Anbietern von Endgeräten einer der großen Schwachpunkte dieses Systems und damit der mit Android betriebenen Geräte ist: Nach ihrer Meinung bleibe deshalb viel zu häufig die Sicherheit auf der Strecke. Zudem erschwerten der schnelle Versionswechsel (siehe Tabelle) sowie die uneinheitliche Update-Politik der Smartphone-Anbieter, die gerade ältere Systeme nicht auf dem aktuellen Betriebssystemstand hielten, die Sicherheitslage zusätzlich.
Wir beschäftigen uns in diesem Artikel in einem kurzen Überblick mit den Besonderheiten und Herausforderungen des Betriebssystems, schildern die Gefahren und stellen Lösungen vor, die dem Android-Anwender helfen, seine Geräte sicherer zu machen. In weiteren Artikeln in den kommenden Wochen werden wir dann auch Apples iOS und Microsofts Antwort auf diese Smartphone-Betriebssysteme - Windows Phone 7 - unter die Lupe nehmen und diese drei "Kandidaten" dann abschließend vergleichen.
Android: Das Betriebssystem
Wer die Frage nach dem derzeit erfolgreichsten Linux-System am Markt stellt, wird eine Überraschung erleben: Es handelt sich dabei nicht etwa um Ubuntu, Debian, Fedora oder gar SuSE. Die quelloffene und freie Software Android, die auf dem Linux-Kernel 2.6 aufsetzt, ist mit einem weltweiten Marktanteil von 52,5 Prozent sogar der Platzhirsch bei den Smartphone-Betriebssystemen. Diese Zahlen stammen von den Gartner-Analysten und beziehen sich auf das dritte Quartal 2011. Im Jahr zuvor lag Android mit einem Marktanteil von 25,5 Prozent noch auf einem der hinteren Ränge. Bereits im Sommer 2005 kaufte Google die unbekannte Softwareschmiede Android, die zwei Jahre zuvor von Andy Rubin gegründet wurde. Im Oktober 2008 wurde Android dann erstmals auch als Betriebssystem für Mobiltelefone vorgestellt. Mit den an die Java-Standard-Edition angelehnten Klassenbibliotheken, der ebenfalls auf Java basierenden virtuellen Maschine Dalvik (Dalvik Virtual Machine - DVM), einer integrierten SQLite-Datenbank und einer OpenGL-basierten 3D-Grafikbibliothek bietet Android eine sehr attraktive Plattform für Softwareentwickler - was sich auch an der großen Zahl der Apps ablesen lässt, die im Android Market zum Download bereit stehen.
Version |
Codename |
Erscheinungsdatum |
1.0 |
Base |
2008 |
1.1 |
Base_1_1 |
Februar 2009 |
1.5 |
Cupcake |
Mai 2009 |
1.6 |
Donat |
September 2009 |
2.0 (2.01/2.1) |
Eclair |
November 2009 / Januar 2010 (2.1) |
2.2 |
Froyo |
Juni 2010 |
2.3 (2.3.3) |
Gingerbread |
November 2010 / Februar 2011 (2.3.3) |
3.0 (3.1/3.2.) |
Honeycomb |
Februar 2011 / Juni 2011 (3.2) |
4.0 (4.03) |
Ice Cream Sandwich |
Oktober 2011 / Dezember 2011 |
5.0 |
Jelly Bean |
Soll 2012 erscheinen |
- Systemeinstellungen
Eine Kleinigkeit, die leider oft vernachlässig wird: In den Systemeinstellungen von Android kann die grundsätzliche Installation von Anwendungen, die nicht aus dem Android-Market stammen, zugelassen werden. Diese sollte immer wieder zurückgesetzt werden. - Release auf Release
Ein Problem der Android-Systeme ist der schnelle Release-Wechsel verbunden mit der gleichzeitig schleppende Update-Politik der Hersteller: Hier ein Blick auf das Release 4.0 (Ice Cream Sandwich), das bis jetzt nur auf wenigen Systemen zu finden ist (Quelle: Android Open Source project). - Cerberus
Eine Gewissensfrage: Viele Anwendungen für Android – auch solche, die selbst dem Schutz des Systems dienen wie die hier gezeigte "Cerberus"-Lösung – verlangen und benötigen weitgehende Rechte auf dem System. - AVG Free
Eine der Lösungen, die dem Anwender auch als Freeware unter Android zur Verfügung stehen: AVG Free für mobile Systeme. - Achtung vor USB-Debugging
Das konnte im Test überzeugen: Die AVG-Lösung machte nach der Installation sofort darauf aufmerksam, dass der sogenannte USB-Debugging-Modus, der auf diesem Gerät aktiviert war, eine Sicherheitslücke darstellt. - Schnelle Meldung
Auch an dieser Stelle machte die AVG-Lösung einen guten Eindruck: Obwohl der EICAR-Test-String und die Viren, für die er steht, dem Android-System nicht direkt schaden können, wurde die Datei auf der SD-Karte bemerkt und entsprechend gemeldet. - Lookout Security & Antivirus
Die Lookout-Software Security & Antivirus bei der Installation: Die Lösung wurde sehr gut lokalisiert und erläutert dem Anwender die einzelnen Schritte während der Installation auf dem Smartphone. - Backup
Eine integrierte Backup-Lösung steht ebenfalls zur Verfügung: Wer allerdings auch seine Bilder und Daten von der Telefon-Historie sichern will, muss die Premium-Version der Software käuflich erwerben. - App Scanning
Die Lookout-Lösung nach der Installation im Einsatz: Sie konzentriert sich bei der Untersuchung der Daten auf dem Smartphone vor allen Dingen auf die darauf installierten Apps und untersucht sie regelmäßig. - Nexploit
Der Versuch eines Angriffs: Der hier gezeigte Vulnerability-Scanner Nexploit konnte zwar auf unserem Tablet unter Android 2.3.5 eine theoretische Lücke im ICMP-Zeitstempel finden – angreifbar war diese hingegen nicht. - Ad Detector
Eine weitere Sicherheitsinformation für das Android-Gerät: Mit Hilfe der App "Ad Detector" werden die installierten Apps daraufhin untersucht, mit welchem Anzeigen-Netzwerk sie in Verbindung stehen. - Schadsoftware gefunden
Und schon ist ein Schuldiger gefunden: Ad Detector zeigt nicht nur an, zu welchen Anzeigen-Servern eine Verbindung besteht, sondern benennt auch die entsprechende App auf dem Android-Telefon. In diesem Fall war es eine App, die Hersteller Samsung auf dem System installiert hatte! - Mobile Threat Tracker
Sehr schön dargestellt: Mit Hilfe der Anwendung Mobile Threat Tracker wird dem Anwender sehr eindringlich die aktuelle Bedrohungslage visualisiert. - Systemeinstellungen
Eine Kleinigkeit, die leider oft vernachlässig wird: In den Systemeinstellungen von Android kann die grundsätzliche Installation von Anwendungen, die nicht aus dem Android-Market stammen, zugelassen werden. Diese sollte immer wieder zurückgesetzt werden. - Release auf Release
Ein Problem der Android-Systeme ist der schnelle Release-Wechsel verbunden mit der gleichzeitig schleppende Update-Politik der Hersteller: Hier ein Blick auf das Release 4.0 (Ice Cream Sandwich), das bis jetzt nur auf wenigen Systemen zu finden ist (Quelle: Android Open Source project). - Cerberus
Eine Gewissensfrage: Viele Anwendungen für Android – auch solche, die selbst dem Schutz des Systems dienen wie die hier gezeigte "Cerberus"-Lösung – verlangen und benötigen weitgehende Rechte auf dem System. - AVG Free
Eine der Lösungen, die dem Anwender auch als Freeware unter Android zur Verfügung stehen: AVG Free für mobile Systeme. - Achtung vor USB-Debugging
Das konnte im Test überzeugen: Die AVG-Lösung machte nach der Installation sofort darauf aufmerksam, dass der sogenannte USB-Debugging-Modus, der auf diesem Gerät aktiviert war, eine Sicherheitslücke darstellt. - Schnelle Meldung
Auch an dieser Stelle machte die AVG-Lösung einen guten Eindruck: Obwohl der EICAR-Test-String und die Viren, für die er steht, dem Android-System nicht direkt schaden können, wurde die Datei auf der SD-Karte bemerkt und entsprechend gemeldet. - Lookout Security & Antivirus
Die Lookout-Software Security & Antivirus bei der Installation: Die Lösung wurde sehr gut lokalisiert und erläutert dem Anwender die einzelnen Schritte während der Installation auf dem Smartphone. - Backup
Eine integrierte Backup-Lösung steht ebenfalls zur Verfügung: Wer allerdings auch seine Bilder und Daten von der Telefon-Historie sichern will, muss die Premium-Version der Software käuflich erwerben. - App Scanning
Die Lookout-Lösung nach der Installation im Einsatz: Sie konzentriert sich bei der Untersuchung der Daten auf dem Smartphone vor allen Dingen auf die darauf installierten Apps und untersucht sie regelmäßig. - Nexploit
Der Versuch eines Angriffs: Der hier gezeigte Vulnerability-Scanner Nexploit konnte zwar auf unserem Tablet unter Android 2.3.5 eine theoretische Lücke im ICMP-Zeitstempel finden – angreifbar war diese hingegen nicht. - Ad Detector
Eine weitere Sicherheitsinformation für das Android-Gerät: Mit Hilfe der App "Ad Detector" werden die installierten Apps daraufhin untersucht, mit welchem Anzeigen-Netzwerk sie in Verbindung stehen. - Schadsoftware gefunden
Und schon ist ein Schuldiger gefunden: Ad Detector zeigt nicht nur an, zu welchen Anzeigen-Servern eine Verbindung besteht, sondern benennt auch die entsprechende App auf dem Android-Telefon. In diesem Fall war es eine App, die Hersteller Samsung auf dem System installiert hatte! - Mobile Threat Tracker
Sehr schön dargestellt: Mit Hilfe der Anwendung Mobile Threat Tracker wird dem Anwender sehr eindringlich die aktuelle Bedrohungslage visualisiert. - Systemeinstellungen
Eine Kleinigkeit, die leider oft vernachlässig wird: In den Systemeinstellungen von Android kann die grundsätzliche Installation von Anwendungen, die nicht aus dem Android-Market stammen, zugelassen werden. Diese sollte immer wieder zurückgesetzt werden. - Release auf Release
Ein Problem der Android-Systeme ist der schnelle Release-Wechsel verbunden mit der gleichzeitig schleppende Update-Politik der Hersteller: Hier ein Blick auf das Release 4.0 (Ice Cream Sandwich), das bis jetzt nur auf wenigen Systemen zu finden ist (Quelle: Android Open Source project). - Cerberus
Eine Gewissensfrage: Viele Anwendungen für Android – auch solche, die selbst dem Schutz des Systems dienen wie die hier gezeigte "Cerberus"-Lösung – verlangen und benötigen weitgehende Rechte auf dem System. - AVG Free
Eine der Lösungen, die dem Anwender auch als Freeware unter Android zur Verfügung stehen: AVG Free für mobile Systeme. - Achtung vor USB-Debugging
Das konnte im Test überzeugen: Die AVG-Lösung machte nach der Installation sofort darauf aufmerksam, dass der sogenannte USB-Debugging-Modus, der auf diesem Gerät aktiviert war, eine Sicherheitslücke darstellt. - Schnelle Meldung
Auch an dieser Stelle machte die AVG-Lösung einen guten Eindruck: Obwohl der EICAR-Test-String und die Viren, für die er steht, dem Android-System nicht direkt schaden können, wurde die Datei auf der SD-Karte bemerkt und entsprechend gemeldet. - Lookout Security & Antivirus
Die Lookout-Software Security & Antivirus bei der Installation: Die Lösung wurde sehr gut lokalisiert und erläutert dem Anwender die einzelnen Schritte während der Installation auf dem Smartphone. - Backup
Eine integrierte Backup-Lösung steht ebenfalls zur Verfügung: Wer allerdings auch seine Bilder und Daten von der Telefon-Historie sichern will, muss die Premium-Version der Software käuflich erwerben. - App Scanning
Die Lookout-Lösung nach der Installation im Einsatz: Sie konzentriert sich bei der Untersuchung der Daten auf dem Smartphone vor allen Dingen auf die darauf installierten Apps und untersucht sie regelmäßig. - Nexploit
Der Versuch eines Angriffs: Der hier gezeigte Vulnerability-Scanner Nexploit konnte zwar auf unserem Tablet unter Android 2.3.5 eine theoretische Lücke im ICMP-Zeitstempel finden – angreifbar war diese hingegen nicht. - Ad Detector
Eine weitere Sicherheitsinformation für das Android-Gerät: Mit Hilfe der App "Ad Detector" werden die installierten Apps daraufhin untersucht, mit welchem Anzeigen-Netzwerk sie in Verbindung stehen. - Schadsoftware gefunden
Und schon ist ein Schuldiger gefunden: Ad Detector zeigt nicht nur an, zu welchen Anzeigen-Servern eine Verbindung besteht, sondern benennt auch die entsprechende App auf dem Android-Telefon. In diesem Fall war es eine App, die Hersteller Samsung auf dem System installiert hatte! - Mobile Threat Tracker
Sehr schön dargestellt: Mit Hilfe der Anwendung Mobile Threat Tracker wird dem Anwender sehr eindringlich die aktuelle Bedrohungslage visualisiert.