Android Market: Ferninstallation in der Kritik

7. Februar 2011, 14:22
10 Postings

SicherheitsexpertInnen zeigen sich über neue Funktion wenig erfreut - Zusätzliche Hürden gefordert

Im Rahmen eines eigentlich Android 3.0 gewidmeten Presseevents hat Google vor wenigen Tagen die nächste Ausbaustufe des Android Markets präsentiert: Über ein Web-Interface lässt sich nun nicht nur durch das gesamte Softwareangebot stöbern, wer will kann Apps auch direkt von hier aus auf das Smartphone "pushen" und dort installieren lassen.

Problematik

Genau diese Funktion bringt Google nun aber auch Kritik ein: So kritisieren etwa die SicherheitsexpertInnen von Kaspersky in einem Blog-Eintrag, dass es auf diesem Weg auch potentiellen AngreiferInnen neue Möglichkeiten eröffne. Immerhin reiche es nun aus, Zugang zu einem GMail-Account zu bekommen, um nach Herzenslust Apps auf das damit verbundene Smartphone zu schicken.

Abwägungen

Vor allem kritisiert man, dass es vor der Installationen auf dem Gerät keinerlei Abfragen mehr gebe, auch sei es nicht möglich diese Funktion vollständig zu deaktivieren. Fraglich bleibt allerdings, in wieweit dies tatsächlich für erfolgreich Attacken ausgenutzt werden kann, immerhin können auf diesem Weg nur jene Programme installiert werden, die im offiziellen Android Market zu finden sind.
Und selbst wenn es dort gelingt Schadsoftware einzuschleusen, werden die NutzerInnen über die Installation neuer Programme über den Benachrichtigungsbereich informiert, würden diese also bemerken.

Aufpassen

Freilich sind nicht alle UserInnen entsprechend achtsam, und lesen auch wirklich alle Benachrichtigungen genau, eventuell könnte eine solche Information - bei gute gewähltem Namen - mit dem Auto-Update einer bestehenden Anwendung verwechselt werden. Bei Kaspersky zeigt man sich jedenfalls von der akuten Bedrohung überzeugt, und hat offenbar versucht zu Google Kontakt aufzunehmen - nach eigenen Angaben bislang ohne Erfolg.

Passwörter

Neben des Umstands, dass die Möglichkeit die entsprechende Funktion abschalten zu können - etwa über die Geräte-Administration - durchaus wünschenswert wäre, bleibt allerdings die Frage offen, ob ein solcher Angriff im Falle einer Kompromittierung des GMail-Accounts tatsächlich das größte Problem wäre. Immerhin ließe sich dann einfach selbst ein Smartphone mit einem geknackten Account einrichten und - falls dieser mit einer Kreditkarte verbunden ist - darüber eifrig kostenpflichtige Apps einkaufen. Unabhängig von solchen Abwägungen bleibt nur eines sicher: Die Wahl eines sicheren Passworts bekommt nicht zuletzt im Zusammenhang mit Smartphones eine immer größere Relevanz. (apo, derStandard.at, 07.02.11)

Der WebStandard auf Facebook

  • Artikelbild
    screenshot: andreas proschofsky
Share if you care.