Grayware als Grauzone der App-Sicherheit
Keine Malware, aber…!
Nicht jede App verfolgt bösartige Ziele, doch viele Apps sammeln fleißig Daten. Nutzen die Anwender mobile Geräte privat und geschäftlich, dann sind Geschäftsdaten gefährdet - auch unbeabsichtigt. Es stellt sich damit die Frage, wie mit Apps umzugehen ist, die zwar keine Malware darstellen, dem Administrator aber dennoch alles andere als genehm sind.
Neben dem trendigen Design moderner Smartphones und Tablets machen vor allem die darauf installierten Apps die Faszination mobiler Kommunikation und Unterhaltung aus. Doch App ist nicht gleich App. Die meisten Apps verfolgen keine bösartigen Ziele wie Datendiebstahl und Spionage, einige aber schon - und viele liegen irgendwo dazwischen. Zur Malware zählen definitiv Apps, die subversiv agieren und darauf aus sind, dem Besitzer des Geräts Schaden zuzufügen. Sie operieren mit einer verborgenen Taktik, konzipiert von Malware-Entwicklern in feindlicher Absicht. Als Teil einer unternehmensweiten Mobile-Sicherheitsstrategie gilt es, mobile Malware dieser Art selbstverständlich ebenso abzuwehren wie andere IT-Bedrohungen.
Ab wann sind Apps "bösartig"?
Eine Herausforderung besteht darin, dass es nicht so leicht zu definieren ist, ob eine App in bösartiger Absicht agiert oder "nur" Daten für Werbezwecke sammelt. Viele Vorgehensweisen fallen in eine Grauzone, weil bestimmte Apps auf unerwartete Weise von personenbezogenen Daten Gebrauch machen. So erfassen viele Apps Informationen zum mobilen Gerät, Standort, Benutzer und seinen Kontakten, obwohl die App diese Informationen aus funktionaler Sicht eigentlich nicht benötigt. Über die verschiedenen Netzwerkdienste, die mit dem mobilen Gerät zugänglich sind, können Daten auch an Dritte gelangen.
App-Entwickler nutzen gerne Werbenetzwerke als Einnahmequelle für billig oder kostenlos angebotene Apps. Diese sogenannten Ad-Netzwerke (Ad = Advertisement, also Werbung) gehen teilweise sehr aggressiv vor, um Benutzerinformationen zu sammeln. Dass viele Apps Daten sammeln "dürfen", liegt an den durch die Benutzer meist sorglos erteilten Berechtigungen sowie an der zunehmenden Zahl von Mobile-Werbenetzwerken seitens Dritter. Viele Benutzer klicken sich durch die Installationsschritte und schenken dem "Kleingedruckten" wenig Aufmerksamkeit, da sie möglichst schnell die App ausprobieren wollen.
Verbreitung von Malware über Ad-Netzwerke
Die Malware-Experten von Palo Alto Networks konnten zudem bereits mehrfach beobachten, wie Ad-Netze für die Verbreitung von Schadcode zum Einsatz kamen. So hat das Forschungsteam neue bösartige APKs (Android Application Packages) identifiziert, die in der Lage waren, alle getesteten herkömmlichen Antivirenlösungen zu umgehen.
Mobile-Ads funktionieren ein wenig anders als die Anzeigen auf einer Website, die ein Web-Server einfach an den Browser des Benutzers ausliefert. Anwendungsentwickler müssen typischerweise ein SDK (Software Development Kit) oder eine kleine Software für das Ad-Netzwerk in der mobilen Anwendung selbst installieren. Diese Embedded-Software sorgt dafür, dass die Werbung auf der App korrekt angezeigt wird, wofür das Ad-Netzwerk den Entwickler letztlich bezahlt. Das Problem ist, dass dies einer absichtlichen Hintertür in der App gleichkommt und nicht alle Werbenetzwerke so seriös agieren wie etwa Admob. Kommt ein Werbenetzwerk für böswillige Zwecke zum Einsatz, dann könnte eine vermeintlich harmlose App schädliche Inhalte auf das mobile Gerät transferieren und damit so etwas wie ein mobiles Botnetz aufbauen. Unabhängig davon, ob das Ad-Netzwerk harmlose oder bösartige Inhalte mittels App verbreitet, die Architektur ist die gleiche.
So haben wir es heute mit einer wachsenden Grauzone von Apps zu tun, die zwar nicht das Schadenpotenzial von Malware aufweisen, aber aggressiv Informationen über die Benutzer sammeln und damit die Privatsphäre bedrohen. Daraus resultiert eine Reihe höchst kritisch zu bewertender Aspekte: Dem Benutzer ist nicht bewusst, was eigentlich passiert. Die Daten finden außerhalb der Geräteumgebung Verbreitung. Und es gibt keine Transparenz, was mit den Daten geschieht, sobald sie das Gerät verlassen.
Was versuchen Apps mit den Daten der Benutzer zu tun und was wissen die Benutzer darüber? Forscher der Carnegie Mellon University in Pittsburgh/Pennsylvania haben sich mit diesem Thema beschäftigt und dabei Apps hinsichtlich ihrer Privatsphäre bewertet. Die Ergebnisse sind interessant, weil sie beleuchten, wie viele offene Fragen es selbst bei sehr beliebten Apps gibt - und dass diese nicht so unproblematisch sind, wie es den Anschein hat.
So gilt besondere Aufmerksamkeit etwa den typischen Gelegenheitsspielchen, die in der Regel auf Free-to-Play-Modellen basieren, finanziert durch Werbung oder Verkaufsangebote in der App. Hier sind auch Drittanbieter involviert, die zusätzlich fleißig Daten sammeln. Die schlechtesten Bewertungen haben übrigens Spiele erhalten, die sich eindeutig an Kinder richten. Am besten bewertet wurden bekannte Plattformen wie Youtube und beliebte Apps aus dem Hause Google wie Google Maps oder Gmail. Die Bewertungen sind im Detail auf Privacygrade.org abrufbar.
Mischnutzung
Heute erwarten die Mitarbeiter in Unternehmen, persönliche und geschäftliche Anwendungen auf demselben Gerät nutzen zu können. Egal ob Privatgerät - Stichwort: BYOD (Bring Your Own Device) - oder Firmengerät, früher oder später sind mehrere geschäftsfremde Anwendungen darauf installiert. Die Aufgabe, nun geschäftliche Daten auf mobilen Geräten zu schützen, erweist sich als komplex, da die Malware-Akteure ein vielfältiges Arsenal auf Lager haben, um die Datensicherheit zu bedrohen. Hinzu kommt das Problem, durch ein zentrales Management überhaupt erst die Kontrolle über alle Geräte zu erlangen.
Beim Aufbau einer Sicherheitsstrategie für mobile Geräte gilt es, Malware und Spyware proaktiv zu stoppen sowie Daten auch vor dem Zugriff durch sogenannte "Grayware"-Apps zu schützen, die in die erwähnte Grauzone fallen: keine Malware im eigentlichen Sinn, aber definitiv ein Problem. Dies erfordert auf mobilen Geräten den erweiterten Schutz von Geschäftsdaten - und zwar auf eine Weise, dass diese von nicht geschäftsrelevanten Apps ferngehalten werden.
Mit einer umfassenden Sicherheitslösung auf dem neuesten Stand der Technik lassen sich mobile Clients vor einer Infektion durch APK-basierte Malware schützen. Sicherheitsanbieter, die mit einer Cloud-basierten Sandbox im Hintergrund arbeiten, analysieren täglich verdächtige APK-Samples ihrer Kunden. Mit einer Appliance, die als Mobile-Security-Management-System dient, kann man geschäftliche Datenbestände schützen und Listen erlaubter Softwarepakete definieren. Im Idealfall lassen sich auch Richtlinien für Geräte festlegen, die bereits Applikationen mit Schadroutinen installiert haben.
Entscheidend ist neben dem Schutz der Daten und Geräte, die Konfiguration aller mobilen Geräte zentral im Rahmen des Mobile-Security-Managements zentral zu verwalten. Sobald weitere mobile Geräte zum Einsatz kommen, egal ob unternehmenseigene oder private, muss das Geräte-Management sofort sichergestellt sein.
Der Trend zur Mobilität hält an, der Arbeitsplatz im Büro ist für immer mehr Mitarbeiter nur noch Basisstation. Mobile-Security-Lösungen sollten heute daher integrativer Bestandteil eines ganzheitlichen Sicherheitskonzepts sein. Hinzu kommen Nutzungsregeln, welche Apps und Daten die Mitarbeiter geschäftlich und privat auf den mobilen Endgeräten nutzen dürfen. Die Kombination aus technischen Maßnahmen und klar definierten - und konsequent durchgesetzten - Regeln ermöglicht ein hohes Sicherheitsniveau auch in der erweiterten Unternehmensumgebung.
Lesen Sie mehr zum Thema
