Vor 17 Jahren begann ich meine Laufbahn als Informatiker. Jedes Jahr lerne ich etwas dazu und stelle immer wieder verwundert fest wie wenig ich weiß. Eines war mir jedoch schon sehr früh klar: Umso mehr ich von Computern verstehe, umso weniger traue ich der Sicherheit des ganzen.
Diese stumpfe Erkenntnis, habe ich bis heute auch nicht mehr abgelegt. Mein aller größter Alptraum war da der Advent der Smartphones: Plötzlich hatte ich da einen Computer der mir keinen Administratorzugang gewährt und mich nur über Umwegen dazu ermächtigt beliebige Apps zu installieren. Zu allem Überfluss hat sich das zu einem zentralen Knotenpunkt in der Art und Weise wie ich kommuniziere und Informationen konsumiere entwickelt.
Der folgende Artikel handelt von den diesen Problemen und worauf man achten sollte.
Transparent wie eine Betonwand – auch so stabil?
Sowohl Android wie auch iOS auf dem iPhone zeichnen sich dadurch aus, dass sie intransparent für seinen Benutzer sind und sehr viele Abläufe des Systems vor dem Benutzer verstecken. Es ist schwierig eine Auflistung aller laufenden Prozesse und Services zu bekommen – vor allem, wenn diese aus dem Standardraster von Apps herausfallen.
Zu allem Überfluss gibt es auf Android auch noch die hässliche Nebenwirkung, dass der Hersteller der Hardware jegliche Software auf das Gerät packen kann. So ist es mir mit einem Ulefone Paris passiert, dass dieses über einen System-Service begann Apps nach zu installieren.
Das äußerte sich darin, dass plötzlich Werbe-Apps aufpoppten. Zu Beginn dachte ich, das wäre Teil dieses sehr günstigen Geräts. Als die nach installierten Apps allerdings auch noch andere Apps nachinstallierten, von „Antiviren“ über Block-Screens, wurde ich nervös.
Sinnbildlich krabbelten gerade lauter Kakerlaken aus den Ritzen des Geräts.
Wo hatte ich mir diesen Trojaner eingefangen? Ich konnte es mir nicht erklären. Bei meiner Recherche stellte sich heraus, dass das Gerät mit einer nicht deinstallierbaren App (System-Service) ausgeliefert wurde, deren Sinn und Zweck es war, genannte Werbe-Apps nachzuinstallieren.
Mit einem iPhone (oder jedem vernünftigen Android-Gerät) wäre das nicht passiert, allerdings machte es offensichtlich, wie intransparent und unsicher diese Geräte sein können.
Fake-Apps und wo sie herkommen
Mein Daily-Read von Medium hat mir den Artikel Discovering Fake Trezor, MetaMask and MyCrypto Android APKs vorgeschlagen. Bei der Lektüre war ich positiv und negativ überrascht:
- Positiv Überraschung: Die Scam-Apps stehlen nur die Keys und damit die Funds auf die sie Zugriff haben.
- Negative Überraschung: Es wird immer schwerer an der Optik zu erkennen, ob Apps Scam bzw. Fake sind.
Die Aufmachungen der Apps wird also immer besser und teilweise schaffen es die App-Produzenten durch die Review-Prozesse und die Apps tauchen im Google Play- und Apple App-Store auf.
Zu allem Überfluss kann es zu Fällen kommen in denen Entwickler ohne Absicht Viren in ihrer Apps verbauen. So 2015 passiert, als manipulierte Entwicklerwerkzeuge verwendet wurden um Apps zu bauen.
Billig eingekaufte Apps – inkl. Maleware
Dann gibt es noch die Fälle in denen die Entwicklung ausgelagert wurde. Ein Freund hat mich 2018 um einen Kostenvoranschlag für eine App gebeten. Meine schätzung irgendwo zwischen 3.000€ und 6.000€. Auf Fiverr fand er jemanden der es für 250 USD machen wollte.
100 USD über die Plattform und zusätzlich 150 USD in der Form von Bitcoin. Während des Entwicklerprozess wurde es immer klarer, dass dieses Angebot nicht nur zu gut war um wahr zu sein, sondern es tatsächlich auch war. Der Entwickler pochte immer wieder darauf doch schon 80% der App fertig zu haben und deswegen gerne seine Bitcoin haben möchte.
Schlussendlich bekam er sie nicht, da mein Freund, meinte er wolle die App noch prüfen vor der Zahlung. Zu unser aller Überraschung liefert der Entwickler dann tatsächlich eine Android-App ab. Ich wurde geben sie zu prüfen. Mit den gleichen Werkzeugen wie der Kollege Harry aus dem Medium-Artikel habe ich die App dekompiliert und geprüft.
Diese Fake-App konnte erstaunliche Dinge:
- Sie erfüllte die Minimalanforderungen des Pflichtenhefts
- Sie konnte Kommandos von einem Gratis-Server von Microsoft (Azure-Cloud) empfangen
- Diese Kommandos konnten verschiedene Funktionen aktivieren wie zB. Werbung für den Entwickler anzeigen, beliebige Websites in Popups anzeigen, etc.
Da die App auch noch Zugriff auf das Mikrofon hatte – gehörte zu den Minimalanforderungen – probierte ich die App dann nicht aus und beschränkte mich auf eine oberflächliche Code-Analyse.
Bugs, Bugs, Bugs – schnell überrollt
Ich bin seit 2008 als professioneller Entwickler tätig. Neben großartiger Software habe ich vor allem Bugs produziert. Das gehört zum Job dazu und man verbringt einen wesentlichen Teil seiner Zeit damit, eigene Bugs und Bugs von Kollegen zu beheben.
In den aller meisten Fällen sind die Auswirkungen minimal. In den gröberen Fällen entstehen finanzielle Schäden und in den schlimmsten Fällen sterben Menschen durch Software-Fehler. Niemand wollte diese Bugs programmieren und doch passiert es immer und immer wieder. So zB. auch bei Komodo beim Agama Wallet. Dort war es sogar so, dass nicht im Agama-Wallet-Programmcode selbst der Fehler lag, sondern in einer Programmbibliothek auf der man aufbaute. (Was völlig legitim und Usus ist bei der Softwareentwicklung.)
Aber hier kommt der Lichtblick bei der Verwendung von mobilen Apps: Über die App-Stores können Updates zentral und rasch an die Benutzer ausgerollt werden.
Conclusio
Obwohl ich sogar über DEx-Apps geschrieben habe, verwende ich mobile Apps so wenig wie möglich und mit so geringen Beträgen wie möglich.
Die Intransparent des Systems schreckt mich da nach wie vor zu sehr ab.
PS: Die c’t Ausgabe Android 2017 war es die mir die notwendigen Anleitungen an die Hand gegeben hat
Beitragsbild als CC-Lizensiertes Bild von Mike Mozart.
