Android-Debugging führt zu Datendiebstahl

Originalartikel von Bob Pan, Mobile Security Engineer

Androids Debugging-Funktion könnte für den Diebstahl von Informationen aus den Apps auf dem Gerät missbraucht werden. Mit einigem Aufwand lässt sich nämlich eine App für das Debugging anderer auf dem Gerät laufender Anwendungen aufsetzen. Dieses Programm hätte dann Zugriff auf alle Informationen der betroffenen Apps, sodass das Abgreifen von Nutzernamen und Kennwörtern trivial ist.

Von dieser Bedrohung sind die Android-Versionen 2.3 (Gingerbread) und frühere betroffen. Auch wenn Gingerbread im September 2011 zum letzten Mal aktualisiert wurde, nutzen laut Google mehr als die Hälfte aller Android-Geräte immer noch eine dieser Versionen.

Das Problem, wie auch alle anderen rund um das Android-Ökosystem, muss von mehreren Seiten angegangen werden: Entwicklern, Google und Telekommunikationsunternehmen sowie Anwendern.

App-Entwickler

Damit eine App auf diesem Weg angreifbar ist, muss sie natürlich so aufgesetzt sein, dass Debugging möglich ist. Generell sollten dem Debugging-fähige Versionen der Allgemeinheit nicht zugänglich sein. Dennoch ist Debugging für etwa fünf Prozent der Top kostenlosen Apps möglich. Das Risiko ist also nicht unerheblich. Deshalb sollten Entwickler mobiler Anwendungen auch auf die Sicherheit ihrer Programme bedacht sein und sich nicht nur auf Funktionen und die einfache Bedienung konzentrieren.

Google/Telekommunikationsunternehmen

Android hat Schwierigkeiten mit Updates, und viele Nutzer perfekt funktionierender Geräte erhalten nie ein Update, sind also dieser potenziellen Gefahr ausgesetzt. Auch wenn Hard- und Software mit der Zeit veraltet und nicht mehr unterstützt wird, so wurden noch 2012 viele Geräte mit Gingerbread verkauft – und werden wahrscheinlich nie ein Update auf eine neuere Android-Verison erhalten! Es ist schwierig, wenn nicht unmöglich, Sicherheits-Updates unabhängig von größeren Aktualisierungen mit neuen Funktionen zu verteilen.

Die Empfehlung an Google: Der Anbieter sollte darüber nachdenken, Android auf eine Weise zu entwickeln, die auch für ältere Geräte Sicherheitsaktualisierungen ermöglicht, und zwar unabhängig von den mobilen Service Providern und Geräteherstellern.

Nutzer

Die Botschaft an die Nutzer ist eindeutig: Vorsicht bei der Auswahl von Apps!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*