Google hat erhebliche Fortschritte beim Entfernen von Malware aus dem Play Store erzielt. Eine kürzlich erschienene Black Hat-Präsentation eines Forschers von Google Project Zero hat jedoch gezeigt, dass auf vielen Geräten schädliche Apps vorinstalliert sind.
Maddie Stone, die zuvor im Android-Sicherheitsteam gearbeitet hatte und immer noch bei Project Zero ist, stellte fest, dass es für Benutzer nahezu unmöglich ist, sich gegen vorinstallierte Malware auf ihren Geräten zu verteidigen.
Android-Geräte werden jetzt mit 100 bis 400 Apps ausgeliefert, und ein Cyberkrimineller muss nur eine dieser Apps untergraben, um ein Gerät zu infizieren, noch bevor es in die Hände eines Verbrauchers gelangt.
Dieses Problem ist bei günstigeren besonders problematisch geworden smartphones die die Android Open Source Platform (AOSP) verwenden, im Gegensatz zu der lizenzierten Google-Version von Android, die von größeren Marken verwendet wird.
Sicherheit der Lieferkette
Stone hob mehrere Fälle hervor, auf die sie bei der Arbeit im Android-Sicherheitsteam gestoßen war, darunter ein Botnet für SMS- und Klickbetrug namens Chamois, das ab 2016 mindestens 21 Millionen Geräte infizieren konnte.
Diese Malware war schwerer zu besiegen als erwartet, da Google erst im März 2018 erkannte, dass auf 7,4 Millionen betroffenen Geräten die Malware in der Lieferkette vorinstalliert war. Das Unternehmen konnte vorinstallierte Gämsen bis 2019 erfolgreich auf ein Zehntel dieses Niveaus reduzieren, es wurden jedoch auch andere Probleme in Bezug auf die Sicherheit der Lieferkette festgestellt.
Beispielsweise haben 225 Gerätehersteller entweder Diagnosesoftware auf ihren Geräten belassen, die Backdoor-Remotezugriff ermöglicht, den Android Framework-Code geändert, der die Protokollierung auf Spyware-Ebene ermöglicht, oder Apps installiert, die so konfiguriert wurden, dass die Sicherheit von Google Play Protect umgangen wird. Während einige dieser Sicherheitsprobleme in der Lieferkette unbeabsichtigt auftraten, war die Bedrohung so gefährlich, dass Google Anfang dieses Jahres eine CVE-Nummer zuordnete und einen Software-Fix herausgab, der die Umgehung verbot.
Laut Stone ist es viel schwieriger, das Malware-Problem in der Lieferkette zu stoppen, als unerwünschte Apps aus der zu entfernen Google Play Store da die Erkennung auf einer niedrigeren Ebene erfolgen muss, als dies mit herkömmlichen Sicherheits-Apps möglich ist. Nachdem das Thema nun beleuchtet ist, würde Stone gerne weitere Untersuchungen von Drittanbietern zu dieser Softwareversion sehen.
