Dubsmash 2: Android-Malware schaffte es in Googles Play Store

Dem Autor einer Malware-App ist es trotz der Sicherheits-Vorkehrungen Googles gelungen, sein Programm in den Play Store einzuschmuggeln. Zahlreiche Nutzer luden die Anwendung herunter, da sie der Ansicht waren, es handle sich um eine neue Version ... mehr... Google, Android, Malware, Schadsoftware Bildquelle: Public Domain Google, Android, Malware, Schadsoftware Google, Android, Malware, Schadsoftware Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Immer wieder interessant, warum schafft google es nicht die apps zu decompilen und auf schadcode/schadroutinen zu prüfen. das ist ja bei java einfach möglich
 
@Alexmitter: lol what?! Man kann zwar Code prinzipiell wieder decompilieren, egal welche Sprache, aber wenn es gut Obfuscated wurde, kannst du damit kaum mehr was anfangen. Aber selbst wenn der Code offen wäre, es ist nicht möglich durch Algorithmen zu erkennen, was ein anderes Programm macht (siehe Gödelscher Unvollständigkeitssatz bzw Halteproblem). Zur Erkennung von Schadecode werden daher vor allem dynamische Methoden herangezogen, die nicht den Code untersuchen sondern das Verhalten der Anwendung. Um das Thema jetzt nicht zu sehr zu vertiefen, lass dir gesagt sein, es ist alles andere als trivial.
 
@klarso: Android Anwendungen werden in Java geschrieben, das decomplilieren von Java Anwendungen ist im Vergleich zu anderen Sprachen einfach gehalten. Zumal es keine Business Anwendungen mit >500.000 Zeilen Code sind ...
 
@Rumpelzahn: Mal davon abgesehen, dass du nicht auf den Inhalt meines Kommentars eingegangen bist. Hast du einen Link der deine Aussage untermauert, dass "das decomplilieren von Java Anwendungen ist im Vergleich zu anderen Sprachen einfach gehalten" ist? Denn erstmal ist das decompilieren kompliziert, was du meinst ist, dass man sich vielleicht einfach ein Programm herunterladen kann, dass diese Aufgabe übernimmt. Das geht mit C# Code genauso. Macht es aber nicht leichter Schadecode zu erkennen.
 
@Rumpelzahn: Prinzipiell hat er aber recht! Ob das öffnen eines Bildes zum Beispiel schädlich ist oder nicht. Muss von Fall zu Fall beurteilt werden, entweder von einem Menschen oder einer sehr schlauen KI. Und erst dann kann man den Code der zu einem infizierten Bild zum Beispiel führt, klassifizieren und in eine Automatische Rutine einfügen.

Sprich es ist einfach nicht möglich vollautomatisiert Code immer auf Schädlichkeit oder Boshaftigkeit zu untersuchen.

Aber da können andere mit mehr Kenntnis mit Sicherheit mehr zu sagen.
 
@Rumpelzahn: Android-Programme können auch in C und C++ geschrieben werden, siehe Android NDK.
 
@floerido: ja und sogar HTML5 ist vertreten ... ist mir schon klar das nicht nur Java, aber überwiegend Java Apps vorhanden sind.
 
@Rumpelzahn: Und es werden ja nicht jeden Tag hunderte wenn nicht tausende Apps eingereicht. Oh warte, doch...

Selbst WENN Google den Code von HAND prüfen würde, was sie nicht tun, ist das absolut keine Garantie solche Dinge zu finden, ganz im Gegenteil.
 
@Draco2007: Etwas anderes habe ich auch nicht behauptet - nur das Java Code sich sehr wohl decompilieren lässt und somit die Sichtung des Codes möglich wäre. Aber ich gebe Dir recht, ich bezweifle auch das Google nur für die Code Controll Java Developers einstellt, die jede App decompilieren und auf Sicherheit prüfen.
 
@Rumpelzahn: Ja aber decompilieren hilft einfach nicht viel.

Ich habe es praktisch jeden Tag mit decompiliertem Smalltalk Code zu tun, weil unsere Big Data Plattform darauf basiert und anders nicht rauszufinden ist was eine Funktion genau macht. (Kein Intelli-Sense wie im Visual Studio mit Erklärungen)

Wir reden hier von 10-100 Zeilen Code je Funktion, alles noch machbar. Trotzdem extrem nervig weil ALLE Variablen nur noch t1, t2, t3 bis twhatever benannt sind.
Das macht den Code unglaublich schwer zu lesen und dabei hat sich noch niemand die Arbeit gemacht Funktionen zu verstecken (wie das ein Malware-Entwickler tun würde)

Stichprobenartig wird Google das sicherlich machen um die gröbsten Schnitzer zu finden, aber wenn man es drauf anlegt hat man praktisch keine Chance, es sei denn man nimmt mit 3-10 Entwicklern die ganze App auseinander...
Da gibt es bessere (nicht perfekte) Testmethoden...
 
@klarso: Guter Beitrag, aber wohl nicht für Winfuture geeignet.
 
@klarso: "Aber selbst wenn der Code offen wäre, es ist nicht möglich durch Algorithmen zu erkennen, was ein anderes Programm macht (siehe Gödelscher Unvollständigkeitssatz bzw Halteproblem)."

Was hat bitte das eine (die Sätze) mit dem Anderen (Laufzeit- und Verhaltensanalyse) zu tun? Weder der Gödelsche Unvollständigkeitssatz noch das Halteproblem können hier in irgendeiner Form eine Einschränkung liefern.

Natürlich kann eine Software das Verhalten einer anderen Software analysieren und bewerten. Trivialbeweise: Wenn es keine Software gäbe, die in der Lage ist diese Untersuchung erfolgreich durchzuführen, dann kann es auch kein Mensch bzw. dessen Software. Da aber ein Mensch und dessen Software (Gehirn) sehr wohl entscheiden kann, was eine Software im Detail macht, muss die Annahme falsch sein. Ergo, es gibt eine Software, die entscheiden kann, was eine andere Software tut.
 
Ok, Gerät nicht gerootet, kein Fremd-Store in Verwendung. Welche Ausrede gibts jetzt?
 
@Tintifax: Das die App nicht wirklich ein Sicherheitsproblem darstellt.
 
@knirps: erkläre das mal den gut 80% die nicht mal wissen das Android auf ihrem Handy ist
 
@Alexmitter: Warum sollte sich ein normaler Anwender auch dafür interessieren? Die Sicherheitslücke war hier viel mehr der Store selbst als das System.
 
@knirps: Das stimmt, absolut, du hast recht, nur ist es auch für mich verwirrend und ich bin fassungslos wie es möglich sein kann das eine Anwendung so starken Zugriff auf das Userland(Browser->Werbung) und die Anwendungen des Nutzers haben kann, und dazu noch dauerhaft im Hintergrund laufen darf
 
@Alexmitter: Die Anwendung führt einfache Links aus, was auf jedem System geht. Wenn du bei Whatsapp einen Link "anklickst"... was passiert? Der Browser öffnet sich. Nichts anderes hat diese App automatisiert getan.
 
@knirps: also ich habe noch nie gesehen das eine App unter meiner Plattform selbstständig ohne Nutzerzahl einen link im Browser öffnet. und das aus dem Hintergrund erst recht nicht
 
@Alexmitter: Mehr Glück als Verstand würde ich das nennen.
 
@knirps: warum? Hintergrund Prozesse sind nicht in der Lage das zu machen und für das öffnen in einem Webbrowser muss ich die Anwendung offen haben
 
@knirps: Alles klar, danke.
 
@Tintifax: Ach immer das Getrolle hier. Wenigstens fliegen solche Apps gleich raus und werden von Google auch über Fernzugriff automatisch deinstalliert. In anderen Stores passiert es auch siehe z.B. http://www.drwindows.de/content/3119-offizielle-app-getarnte-malware-stiehlt-kundendaten-windows.html. Es ist eben nicht so trivial und manche schwarzen Schafe stecken sehr viel Energie in das Austricksen der Sicherheitsmechanismen der Storebetreiber. Gut wenn dann schnell reagiert wird.
 
@klarso: Kannste dir rot im Kalender anpinseln: Plus von mir für den Beitrag! ^^
 
@klarso: "...werden von Google auch über Fernzugriff automatisch deinstalliert"
Oha, das wusste ich nicht. Hast du dazu einen Link? Würde mich doch sehr interessieren :)
 
@MrKlein: http://bit.ly/1I9BiDM bitte sehr ;)
 
@Tintifax: Die selben Ausreden die bei Apple nach der erfolgreich platzierten Schadsoftware "Jekyll" kamen.
 
@Tintifax: wozu eine Ausrede? Google hat geschlampt, diese Sicherheitslücke gibt es theoretisch in jedem store.
 
"Settings IS"? Na das ist mal ganz klar wieder ein Fall für die Springer Presse. "Islamischer Staat lädt Malware im Play Store hoch, lasst die Kinder im Haus!", mit einem zufällig verlogenen extra Kommentar wieso Privatsphäre Menschenleben gefährden würden.
Ja, das ist jetzt gerade erfunden. Doch schaut mal bei Fefes Blog, so ein ähnlicher Mist ist tatsächlich von einem der Springer Leute gesagt worden! http://blog.fefe.de/?ts=abb94a18
Kommentar abgeben Netiquette beachten!