So machen Sie Ihr Android-Gerät sicherer

Es klingt so einfach: Google prüft als zentraler Anbieter für Android-Apps alle Programme, die den Anwendern über den Google Play-Store zur Verfügung gestellt werden. Ähnlich arbeiten auch Microsoft und Apple bei ihren Plattformen. Wie bei einer gekauften CD/DVD aus dem Geschäft, so soll der Käufer die Sicherheit haben, dass es sich um einwandfreie Software hält. Jedoch konnte der mit Android 4.2 Jelly Bean eingeführte App-Verification-Service bei einer Überprüfung durch den Informatik-Professor Xuxian Jiang von der North Carolina State University in keiner Weise überzeugen: Lediglich 15 Prozent der 1260 Malware-Proben erkannte der Google-Antiviren-Dienst - und das obwohl Google Ende 2012 das VirusTotal-Portal übernahm.

Damit nicht genug: In einer zweiten Testreihe wies der Informatiker nach, dass alle am Markt verfügbaren Antiviren-Lösungen für Android deutlich bessere Ergebnisse erzielen als das, was Google im Moment bietet. Die Erkennungsraten der Lösungen lagen bei einer Prüfung bei 51 bis 100 Prozent. Grund genug, sich nach wie vor mit einer eigenen Schutzsoftware auszustatten. Die Hersteller haben auch bei den kostenfreien Lösungen den Leistungsumfang deutlich gesteigert. Unabhängig vom verwendeten Sicherheitssystem ist in erster Linie das Anwenderverhalten maßgeblich für die resultierenden Auswirkungen für die Sicherheit, wie eine aktuelle Nachfrage bei den Sicherheitsexperten ergab.

Es ist also auf jeden Fall sinnvoll, Android-Telefone und -Tablets mit einer entsprechenden Sicherheitslösung auszustatten. Zudem sollten die Nutzer aber auch die integrierten Sicherheitsfunktionen des Systems im Blick behalten und nutzen. Wir haben uns umgeschaut und aus dem vielfältigen Angebot der Sicherheitslösungen für dieses mobile Betriebssysteme einige interessante Angebote herausgesucht - dabei haben wir auch die "klassischen AV-Lösungen" nicht außer Acht gelassen.

Android-Security
Wir zeigen Ihnen, was Sie zum Schutz Ihres Android-Smartphones tun können.

App-Verification
So könnten grundsätzlich viele Probleme gelöst werden: Die App-Verification, wie Google sie ab der Version 4.2 von Android unterstützt. (Quelle: Jiang-Studie)

App-Verification
Ab Android 4.2 Standard (hier unter Android 4.3): In den Sicherheitseinstellung des Geräts können die Anwender die Verifizierung der Apps durch den „App-Verification-Client“ einschalten.

App Ops Starter
Welche App auf dem Android-Gerät kann aktiv mit welchen Berechtigungen arbeiten? Der „App Ops Starter“ hilft, auf diese Berechtigungen unter Android 4.3 zuzugreifen.

App Ops Starter
Google+ wird standardmäßig mit sehr vielen Zugriffsrechten installiert: Durch den „App Ops Starter“ kann der Nutzer diese nachträglich überprüfen und der App auch wieder entziehen.

App Ops Starter
Einer der vielen Gründe, warum Anwender die Installation von APK-Paketen aus anderen Quellen als dem Google Play Store erlauben (müssen): Nur so können zum Beispiel Apps aus dem Amazon Store auf ein „Nicht-Kindle“-Gerät gelangen.

Mobile Sandbox
Wie sicher ist eigentlich die APK-Datei, die ich aus dem Web geladen habe: Mit der Web-App „Mobile Sandbox“ kann das überprüft werden.

Mobile Sandbox
Was haben andere Nutzer bereits testen lassen? Hat der Anwender der Veröffentlichung auf der Seite zugestimmt, so können auch die Prüfberichte anderer APK-Dateien direkt eingesehen werden.

Sophos Antivirus
Klassische AV-Lösung mit vielen Extras auf den Android-Geräten: Auf Wunsch blockiert die Sophos-Software den Zugriff auf ausgewählte Apps wie hier beispielsweise dem PlayStore durch ein zusätzliches Passwort.

Sophos Antivirus
Der Sicherheitsberater von Sophos „Free Antivirus and Security“: Er hilft dem Anwender bei der sicheren Konfiguration seines Geräts auch in deutscher Sprache.

Avira USSD Exploit Blocker
. Schutz vor USSD-Hacks: Die App des Anbieter Avira erläutert dem Anwender auch, wie und weshalb er sie auf seinem Android-Smartphone betreiben sollte.

Avira USSD Exploit Blocker
Eine URL wurde im Browser des Smartphones angeklickt. Der Nutzer kann entscheiden, mit welcher Anwendung diese geöffnet wird – der sichere Weg: Eine der Sicherheitslösungen gegen USSD-Angriffe wie Avira USSD Exploit wird zum Öffnen verwendet.

Avira USSD Exploit Blocker
Und hier zeigt sich, dass die URL wirklich einen USSD-Code übermitteln wollte: Hier war es „#6#“, um die IMEI-Nummer des Geräts auszulesen.

avast! Free Mobile Security
Sicherheit durch das Rooten? Wer die Anti-Theft-Lösung von Avast mit allen Möglichkeiten installieren und damit wirklich tief in das System einbringen möchte, muss das Gerät leider rooten.

avast! Free Mobile Security
Bei der Avast-Software können Nutzer ohne den richtigen Code keine Konfigurationsänderungen vornehmen: Sie sind so auch nicht einmal dazu in der Lage, ohne Eingabe des Codes ein Scan-Ergebnis näher zu betrachten.

avast! Free Mobile Security
Hat etwas enttäuscht: Egal wie es die Tester es auch drehten und wendeten – der EICAR-Teststring wurde von der Avast-Software einfach nicht entdeckt und als Problem angezeigt.

Die ewige Entscheidung: Rooten oder nicht rooten…

Software-Lösungen, die ein Android-Gerät dadurch sicherer machen sollen, dass sie die Anwender auffordern, einen Root-Access einzurichten, haben wir in diesem Beitrag mit Absicht nicht berücksichtigt. Wir vertreten nach wie vor den folgenden Standardpunkt: Das "Rooten" eines Android-Systems kann so viel Schaden hervorrufen und so viele Sicherheitslücken öffnen, dass dies durch eine "Sicherheits-Software", die darauf aufsetzt, definitiv nicht aufgewogen werden kann. Allerdings gibt es auch genug Experten, die wie etwa Andreas Donath auf Gizmodo genug Gründe finden, ein Android-Gerät zu rooten: Hier sollte jeder Anwender selbst entscheiden.

Wer allerdings in einem mit einer Managementlösungen für mobile Geräte (MDM - Mobile Device Management) professionell verwalteten Netzwerk arbeitet, wird schnell feststellen, dass "Rooted Devices" dort in der Regel als kompromittiert eingestuft werden und ihnen deshalb häufig der Zugang zum Netzwerk verweigert wird.

App Ops Starter: Funktion von Android 4.3 nutzen

Google ist ohne Frage bestrebt, die Sicherheit des Betriebssystems weiter zu erhöhen. Allerdings kämpfen die Entwickler ebenso wie die vielen Anbieter mit der Versionsvielfalt und so stehen manche gute Neuerungen leider nur auf wenigen Geräten bereit. Eine davon betrifft die Berechtigungen der einzelnen Apps: Mit Android in der Version 4.3 hat Google eine neue Funktion eingeführt, mit deren Hilfe Nutzer dediziert auf die Einstellungen einzelner Apps zugreifen könnten: Wir verwenden hier deshalb absichtlich "könnten", weil diese Funktion zwar vollständig in das Betriebssystem implementiert wurde, aber standardmäßig kein Weg zur Verfügung steht, auf diese direkt aus dem System zugreifen. Dazu müssen sich Nutzer zunächst die App "App Ops Starter" aus dem Google Play Store auf ihr Gerät laden. Diese erlaubt über ihre Oberfläche den Zugriff auf diese Einstellungen.

Welche Möglichkeiten bietet der App Ops Starter?

• Kostenlose App, die alle auf dem Gerät installierten Apps mit den aktuellen Zugriffsrechten auflistet.

• Zudem zeigt die App an, wann welche App zuletzt auf welche der Einstellungen zugegriffen hat.

• Der Nutzer kann eine App aus der Liste auswählen und dann dort individuell die Rechte mittels Schieberegler zuteilen oder auch wieder wegnehmen.

• Ein Extra-Menü listet die Anwendungen auf, die SMS/MMS-Zugriffsberechtigungen haben und welche diese bereits ausgeführt haben.

Fazit: Nützlich, aber erst ab Android 4.3

Diese App gehört ohne Zweifel zu den nützlichsten Anwendungen, die wir in letzter Zeit auf unseren Android-Systemen installiert haben. Wer sie installiert und aufruft, wird sicher genau wie wir mit Entsetzen feststellen, welche Fülle von Zugriffsberechtigungen er bei der Installation der einzelnen Apps einfach "abgenickt" hat - und diese nach seinen Vorstellung neu vergeben. Schade nur, dass diese Möglichkeiten nur unter der zur Zeit dieses Tests aktuellsten Android-Version 4.3 zur Verfügung stehen. Wir haben sie auf einem Google Nexus 7 Tablet getestet, das zu den wenigen Geräten gehört, dass schon mit dieser Version arbeitet. Gut hat es uns auch gefallen, dass diese App bereits in deutscher Sprache zur Verfügung steht.

Mobile Sandbox: Online App untersucht APK-Pakete

Grundsätzlich erlaubt Google bei Android nur die Installation von APK-Programmpaketen aus dem Play Store. Aber schon die Nutzer, die beispielsweise auf das ständig größer werdende Angebot der Apps aus dem Amazon App-Store auf einem anderen Android-Gerät als dem Kindle Fire zugreifen wollen, müssen in den Sicherheitseinstellungen die Option "Unbekannte Herkunft" zulassen. Nur so kann eine solche Apps auf ihrem Gerät installiert werden. Auf diese Weise kann dann im Prinzip jede APK-Datei - und damit beispielsweise auch Dateien von anderen Web-Seiten - auf dem Android-Tablet oder -Smartphone installiert werden. Genau vor diesen Problemen soll grundsätzlich die ab Android 4.2 vorhandene App-Verification schützen. Wir haben bereits anfangs auf die wenig erfreulichen Ersuchungsergebnisse zu dieser Technik hingewiesen.

Eine Web-App, die im Rahmen des Mobworm-Projekts entstanden ist, kann hier Hilfe bringen: Sie trägt den Namen "Mobile Sandbox". Das Mobworm, oder "Mobile Malware" Projekt wird von der Bundesregierung mit einem Fördervolumen von circa 750.000 Euro unterstützt und befasst sich generell mit Prognosen und Strategien zur Abwehr von "Mobile Malware".

Was kann Mobile Sandbox leisten?

• Die Web-App bietet grundsätzlich die Möglichkeit, heruntergeladene APK-Dateien mittels einer Web-Seite zu übermitteln und überprüfen zu lassen.

• Nutzer können die Analyse-Reports, die dabei entstehen und angezeigt werden, direkt für andere Anwender zugänglich machen.

• In diesen Berichten bekommen die Nutzer dann auch die einzelnen Bestandteile der APK angezeigt.

• Da die Mobile Sandbox mehrere AV-Engines zum Test der APK-Dateien mehrere Scanner (unter anderem von Kaspersky, Symantec und Avast) sowie statisch und dynamische Analysen verwendet, können Nutzer bei einem positiven Ergebnis sehr viel sicherer sein, dass die entsprechende Datei keinen Schadcode enthält.

Fazit: Gutes "Forschungswerkzeug"

Die Mobile Sandbox ist eine gute Idee, die auch für weniger erfahrene Nutzer leicht einzusetzen ist. Auch wenn sie mit den Aussagen in den Reports wenig anzufangen wissen, bekommen sie immerhin das beruhigende Gefühl, dass ihre Datei eingehend durchleuchtet wurde. Jedoch sollte sich Anwender dessen bewusst sein, dass es sich hier um die laufende Entwicklung eines Projekts handelt, das auch von den Entwicklern selbst als "Forschungswerkzeug" bezeichnet wird. Es ist also keinesfalls gesagt, dass diese an sich gute Lösung auch in Zukunft weitergeführt wird.

Sophos Free Antivirus and Security: Klassische AV-Lösung, neu aufgelegt

Der Security-Software-Hersteller Sophos ist insbesondere im Server-Umfeld eine bekannte Größe und viele Appliances nutzen intern die erfolgreiche AV-Engine. Für Android-Benutzer stellt der Hersteller im Moment eine Nachfolgeversion für "Sophos Mobile Security" über den Play Store bereit. Das als "Free Antivirus and Security" bezeichnete Programm bietet dabei das übliche Repertoire an Sicherheitsfunktionen für Android komplett kostenlos an. Dazu gehören im Bereich von Anti-Malware und Antivirus unter anderem die folgenden Fähigkeiten:

• Das Programm scannt sowohl Apps bei der Installation als auch bereits installierte Apps auf dem Gerät und auf Speichermedien,

• Das Programm scannt Programme bei Bedarf oder in einem festgelegten Intervall.

• Das Programm zeigt potenziell unerwünschte Apps an und

• Das Programm schützt laut Anbieter den Nutzer auch vor gehackten Mobilfunknetzen (USSDs - SM-USSD-Codes sind Service- und Steuerbefehle im GSM-Mobilfunknetz)

Ergänzt wird die Lösung durch einen Schutz vor Verlust und Diebstahl, den der Hersteller als Security Guard bezeichnet. Damit kann der Nutzer sowohl solche Standardaktionen wie Remote Wipe und Remote Lock ausführen, sich aber beispielsweise auch über einen SIM-Karten-Wechsel informieren lassen.

Vorteile von Free Antivirus and Security:

• Die Lösung steht komplett kostenlos zur Verfügung.

• Sie bietet einen gut formulierten Info-Text zu jeder Funktion.

• Es wird viel Wert auf den allgemeinen Datenschutz gelegt: So werden beispielsweise Apps erkannt und gemeldet, die auf persönliche Daten im Adressbuch zugreifen wollen.

Was uns nicht so gut gefallen hat:

• Für den Anwender ist eine sehr häufige Eingabe des zusätzlichen Passworts erforderlich.

• Es ist nicht möglich, das Gerät für eine bestimmte Zeit - beispielsweise um administrative Anpassungen durchzuführen - von dem Schutz freizuschalten

• Android vor 2.2 "Froyo" wird nicht unterstützt

Uns hat es bei der Betrachtung dieser Software besonders gut gefallen, dass der Nutzer hier die Möglichkeit hat, Apps gezielt durch ein zusätzliches Passwort zu blockieren. Dadurch, dass ein solcher Schutz den Zugriff auf die Geräteeinstellungen oder den Play Store verhindern kann, dürften viele Sicherheitsbedenken im Unternehmensumfeld deutlich minimiert werden. Das Passwort kann der Benutzer oder Administrator über einen Recovery-Vorgang zurücksetzen. Der hierfür benötigte Code wird nach der Festlegung des Passworts auf Wunsch auch an eine beliebige E-Mail-Adresse versendet. Es ist bemerkenswert, viele "Profi-Features" der Anbieter bereits in dieser kostenlosen Version zur Verfügung stellt.

Fazit: Gut und kostenlos

Eine leicht zu bedienende, kostenfreie und äußerst praktische Sicherheitssoftware für Android. Die Performance ist selbst auf einem älteren HTC Explorer A310e akzeptabel. Am Sicherheitskonzept von Sophos gefällt besonders der zusätzliche Schutz vor Konfigurationsänderungen. Diese Software erhält unsere unbedingte Empfehlung für den Einsatz auf Android-Geräten ab Android 2.2.

Avira USSD Exploit Blocker: Angriffe aufs Telefon verhindern

Die Gefährdung durch USSD-Codes (SM-USSD-Codes) wird leider oft unterschätzt oder ist vielen Nutzern überhaupt nicht bekannt: Mit Hilfe dieser Zeichenfolgen können direkt Statusveränderungen an einem Android-Smartphone vorgenommen werden: Das geschieht zumeist dadurch, dass sie innerhalb einer Telefon-App genau wie eine Telefonnummer eingegeben werden. In den meisten neueren Geräten wurde diese Lücke, durch die das Telefon auch "hart" auf die Werkseinstellungen zurückgesetzt werden kann, bereits durch die Hersteller geschlossen worden. Wer allerdings noch ein älteres Modell benutzt, oder sich nicht ganz sicher ist, kann diese Testseite mit dem Web-Browser seines Smartphones aufrufen: Erscheint dann die IMEI-Nummer (International Mobile Equipment Identity - eine 15-stellige Seriennummer) des Geräts auf dem Bildschirm, so ist es für diese Lücke anfällig. Dann ist es auf jedem Fall geraten, ein Sicherheits-Tool wie den Avira USSD Exploit-Blocker zu installieren.

Was kann der Exploid-Blocker leisten?

• Wird auf dem Smartphone ein Link geöffnet, so steht die Avira-App als Auswahlmöglichkeit zur Verfügung. Wählt der Anwender sie danach aus, wird der bösartige USSD-Code abgefangen.

• Die kostenlose App ist schnell installiert, selbsterklärend und belastet das System nicht zusätzlich. Sie steht komplett in deutscher Sprache zur Verfügung.

Fazit: Vorbeugen ist besser als...

Moderne Telefone sollten eigentlich gegen "USSD-Hacks" immun sein - wer sichergehen will, kann sich diese App auf sein Android-Smartphone holen. Sie verbraucht keine zusätzlichen Systemressourcen und sorgt dafür, dass nicht doch "zufällig" ein solcher USSD-Code an das eigene Gerät abgesetzt wird.

avast! Free Mobile Security: Stabiler Klassiker

Für den nicht-kommerziellen, privaten Einsatz ist die Android-Version der Sicherheitssoftware avast! Free Mobile Security des tschechischen Unternehmens ebenso wie die Standard-Windows/OS-X-Version der Lösung kostenfrei. Dabei gibt es kaum Einschränkungen, was den Funktionsumfang der Software angeht. Soll sich allerdings der integrierte Diebstahlschutz "Anti-Theft" besonders tief in das System integrieren, so ist es erforderlich, dass das Android System "gerooted" wird. Glücklicherweise bietet der Hersteller dem Anwender auch eine weniger tiefgreifende Variation dieser Funktion an

Vorteile von avast! Free Mobile Security:

• Komplett kostenlose Sicherheitslösung, die in deutscher Sprache bereitsteht und leicht zu installieren und anzuwenden ist.

• Sie bietet einen hohen Leistungsumfang, der alle wichtigen Sicherheitsaspekte abdeckt.

Nachteile von avast! Free Mobile Security:

• Reagiert nicht auf den EICAR-Teststring

• Android vor 2.2 "Froyo" nicht unterstützt

Fazit: Mulmiges Gefühl

Trotz der vielen, von verschiedenen Stellen wie AV-Test immer wieder festgestellten, guten Ergebnisse der Avast-Lösung bei der Virensuche, erkannte die Software in unserem kleinen Test nicht einmal den EICAR-Teststring. Zwar handelt es sich hierbei nicht wirklich um einen Virus. Sie ist allerdings um eine allgemein anerkannte Prüfdatei, die IT-Profis verwenden, um das grundsätzliche Funktionieren einer AV-Lösung zu testen. Wie die Software im Falle einer Infektion reagiert, kann der Anwender somit im Vorfeld nicht selbst testen. Es bleibt ein mulmiges Gefühl, ob der Schutz überhaupt aktiv ist.

Die Sicherheitslösung von Avast ist aber insgesamt gut zu bedienen, komplett auf Deutsch und für Privatanwender kostenfrei. Ähnlich wie die Lösung von Sophos bietet auch Free Mobile Security die Möglichkeit einzelne Apps durch einen zusätzlichen Schutz zu sichern.