Wie gefährlich ist Android?

Android - Sicherheitskonzept und Risiken beim beliebten Google Smartphone OS

Seite: 3/3

Firmen zum Thema

Eine Verschlüsselung des Datenspeichers sucht man bei Android-Smartphones in der Regel vergebens. Da ähnlich wie beim iOS von Apple Anwendungen nur auf ihre eigenen Daten zugreifen dürfen, können auch nur diese verschlüsselt werden. Einige Hersteller wie etwa Motorola kündigen jedoch Systeme mit kompletter Verschlüsselung an, die dann über eine Erweiterung des Linux-Kernels realisiert wird. Für die meisten Android-Nutzer bleibt Verschlüsselung jedoch ein Wunschtraum. Unverschlüsselt abgelegte Daten stellen eines der größten Sicherheitsrisiken von Android dar.

Eine andere, ebenfalls gefährliche Sprengfalle ist die per Default aktivierte Option „USB Debugging“. Diese bietet die Möglichkeit, von einem externen Computer aus per USB auf das Gerät zuzugreifen. Dabei kann eine externe Shell geöffnet und über den Datenbank-Editor sqlite3 das System manipuliert werden. Damit ist es in Sekunden möglich, etwa den Lock eines gestohlenen oder gefundenen Telefons zu deaktivieren und dann das Gerät nach Gutdünken zu missbrauchen.

Bildergalerie
Bildergalerie mit 5 Bildern

Eine weitere Schwachstelle von Android sind Zertifikate, mit denen jede Anwendung signiert wird. Unsignierte Anwendungen können unter Android nicht installiert werden, aber der Wert einer Signatur ist zweifelhaft. Da es keine übergeordnete Zertifikatsinstanz gibt, bleibt es letztlich dem Benutzer überlassen, ob er einer Signatur vertraut oder nicht.

Fazit: Ein System nicht ohne Risiken

Während die Linux-Funktionen von Android als ausreichend sicher gelten, kann das vom ICC-Kommunikationssystem nicht unbedingt behauptet werden. In frühen Android-Versionen waren Definition und Wirkung von Labels einfach und klar. Spätere Erweiterungen haben das Prinzip jedoch stark verwässert. So können etwa Komponenten als privat oder als Broadcast definiert werden. Private Komponenten können überhaupt keine Nachrichten mit anderen Prozessen austauschen. Leider wird das Attribut „privat“ nicht in der Datei AndroidManifest.xml angegeben. Gleiches gilt für Broadcasts, bei denen die Labels im Sourcecode definiert werden. Besonders bei unerfahrenen Programmierern können sich hier unerwartete Sicherheitslücken auftun.

Last, but not least sind auch bei Android-Systemen Angriffe gegen Datensicherungen möglich. Da Datensicherungen in der Regel unverschlüsselt abgelegt werden, dürfen sie keinesfalls in fremde Hände fallen. Ansonsten besteht die große Gefahr, dass Kontakte, Termine, Notizen, GPS-Standorte und andere persönliche Daten extrahiert und zu einem Identitätsdiebstahl genutzt werden.

Inhalt:

  • Seite 1: Datei- und Prozess-Absicherung gelungen
  • Seite 2: Komplexe Interprozess-Kommunikation
  • Seite 3: Fazit: Ein System nicht ohne Risiken

Artikelfiles und Artikellinks

(ID:2051082)