Android 4.2 alias Jelly Bean ist seit November verfügbar. Der eingebaute Schutzmechanismus „Application Verification Service“ prüft vor dem Installieren neuer Apps, ob diese vertrauenswürdig sind. Die Quelle der neuen Apps soll dabei keine Rolle spielen. Die Wissenschaftler der Uni haben sich nun gefragt, ob man mit dem „Application Verification Service“ noch Antiviren-Apps wie von Kaspersky oder Avast braucht. Dazu haben sie sich zunächst die Vorgehensweise des Android-Schutzes angeschaut.
So funktioniert Androids „Application Verification Service“
Der Schutz ist Teil der offiziellen Google-Play-App, analysiert – wenn aktiv – aber auch Apps aus anderen Quellen. In den Einstellungen unter dem Punkt „Sicherheit“ können Sie den Service an- und abschalten. Sobald nun eine neue App installiert wird, schaltet sich der Verification Service ein und schickt einige Daten über die App an Google – darunter App-Name, Größe, Version, assoziierte URL und den SHA1-Wert. Auch die Smartphone-Nummer und IP-Adresse sollen dabei Google verraten werden. Wenn Google die App als unsicher einstuft, wird der User gewarnt.
„Application Verification Service“ erkennt nur 15 Prozent der Malware
Im nächsten Schritt konfrontieren die Wissenschaftler Android 4.2 mit aktiviertem Schutz mit 1.260 Malware-Dateien. Das Malware-Paket sei, versichern die Forscher, ein unter Sicherheitsexperten sehr gängiges Set, das gerne zum Testen verwendet werden würde. Durchgeführt wurde das Experiment am 30. November 2012 auf Nexus-10-Tablets. Von den 1.260 Schädlingen konnte „Application Verification Service“ nur 193 erkennen, also etwa 15 Prozent.
Außerdem testeten die Wissenschaftler, ob Antiviren-Apps für Android die 1.260 Schädlinge besser erkennen als der Verification Service von Android. Namentlich wurden folgende Apps eingesetzt: Avast, AVG, TrendMicro, Symantec, BitDefender, ClamAV, F-Secure, Fortinet, Kaspersky, Kingsoft. Deren Erkennungsraten sollen zwischen 51 und 100 Prozent schwanken.
Fazit der Forscher: Der „Application Verification Service“ ist sinnvoll, muss aber besser werden. Kritisch sei die hohe Relevanz des SHA1-Werts für die Malware-Erkennung, da dieser Wert leicht manipuliert werden könne. Den Forschern ist unklar, warum der Google gehörende Online-Virenscanner Virus Total nicht für den „Application Verification Service“ eingesetzt wird. Virus Total glänze mit einem deutlich besseren Ergebnis als der Verification Service. (PC-Welt)