Security: Wie Google Android sicher macht
Spätestens, seitdem Google in die NSA-Affäre verstrickt wurde, geht der Suchmaschinenanbieter in die Offensive, was die Sicherheit und Privatsphäre seiner Kunden betrifft. Erst kürzlich veröffentlichte Google erstmals einen Lagebericht zur Sicherheit von Android, der in Zukunft jährlich erscheinen soll. Darin werden die Sicherheitsmaßnahmen skizziert, die zur Absicherung von Android unternommen worden sind. Zudem hat Google dafür gesorgt, dass auch Apps im Play Store sicherer werden. Google arbeitet auch an einer Chrome-Erweiterung, mit der E-Mails in Gmail per PGP verschlüsselt werden sollen. "Google trägt die Verantwortung für Android" , sagt Stephan Somogyi, der bei Google für die IT-Sicherheit mitverantwortlich ist und früher bei PGP arbeitete.
Im November 2012 richtete Google den Dienst Verify Apps zunächst nur für Android 4.2 ein, der auf den Geräten der Nutzer im Hintergrund läuft. Der Dienst untersucht einmal wöchentlich installierte Anwendungen auf schädliches Verhalten hin, etwa ob sie nach der Installation Schadcode im Hintergrund installieren. Seit Juni 2013 werden alle Android-Versionen ab 2.3 erfasst. Verify Apps setzt allerdings eine regelmäßige Verbindung zum Play Store voraus.
Google trägt auch die Verantwortung für externe Apps
Google nennt sie potenziell schädliche Apps (Potentially Harmful Applications, PHA) und versteht darunter verschiedene potenzielle Malware, etwa für das Phishing, Ransomware, Backdoors und Trojaner, aber auch Apps für den SMS-Betrug oder auch solche, die Betriebssysteme wie Windows infizieren können. Verify Apps schlägt auch schon bei der Installation Alarm, der Nutzer erhält dann einen entsprechenden Warnhinweis.
Das gelte auch für Apps, die nicht im Play Store angeboten würden, die Google aber als besonders gefährlich einschätzt, sagt Stephan Somogyi Golem.de. Experten bei Google würden solche Apps zunächst eingehend prüfen und bei drohender Gefahr darauf aufmerksam machen. Denn sowohl bei der Entwicklung als auch bei der Pflege trage Google letztendlich die Verantwortung für das mobile Betriebssystem.
Weniger Malware, weniger Spyware
Das Resultat laut Googles Bericht im Zeitraum zwischen März 2014 und März 2015(öffnet im neuen Fenster) : Auf weniger als 0,1 Prozent der untersuchten Geräte weltweit wurden solche Apps entdeckt. Geht man von den aktuellen Zahlen aus, die weit über eine Milliarde verkaufter Android-Geräte registrieren, wurden allerdings immerhin etwa 1 Million Geräte von der automatischen Überprüfung erfasst. Es gibt auch regionale Unterschiede: Während in Deutschland laut Bericht nur wenige Geräte betroffen sind, hat Google die meisten infizierten Geräte in Russland entdeckt. Googles Verify App kann auch gerootete Geräte identifizieren. Hier liegt China weit vorne. Das liegt auch daran, dass es zahlreiche Applikationen von großen chinesischen Anbietern gibt, die für ihre eigenen APIs Root-Rechte benötigen.
Insgesamt verzeichnet Google seit 2014 allerdings einen Rückgang der potenziellen Schadprogramme. Ganz offen geht Google auch mit der Effektivität von Verify Apps vor. Laut Bericht ist auch die Anzahl der fälschlicherweise als schädliche Programme identifizierten Apps deutlich zurückgegangen, was Somogyi bestätigt. Auffallend ist, dass Googles Bericht im vergangenen halben Jahr einen deutlichen Rückgang entdeckter Spyware verzeichnet – auch in der kommerziellen Variante, die der Bericht gesondert kennzeichnete. Auch deutlich weniger Malware wurde im gleichen Zeitraum installiert.
Sanfte Umstellungen, um den Benutzer nicht zu nerven
Google arbeite immer noch an der automatischen Erkennung von Schadsoftware in Android. Die in den vergangenen Jahren eingeführten Sicherheitsfunktionen in Android selbst hätten die Gefahr von Infektionen durch Malware unter Android auf ein Minimum reduziert. "Das Ausmaß des Problems steht aus unserer Perspektive in keinem Verhältnis zu der von anderen geschilderten Situation" , sagt Somogyi. Auch wenn es unbestritten sei, dass es Malware für Android weiterhin geben werde.
Hier nennt Somogyi vor allem die Aktivierung von SE-Linux in Android 5.0. Diese Sicherheitsfunktion des Linux-Kernels lief zuvor nur im Warnmodus, jetzt blockiere SE-Linux unerlaubte Zugriffe auf das System. Google sei es aber wichtig, die Nutzerfreundlichkeit nicht durch abrupte Veränderungen einzuschränken. Google versuche, Funktionen so umzusetzen, dass sie den Anwender später nicht nerven und auch nicht verunsichern. So sei die Sicherheit über die vergangenen Jahre hinweg stetig weiterentwickelt worden, sagt Somogyi. Google-Mitarbeiter müssten indes längst mit verschlüsselten Geräten arbeiten. Sämtliche Sicherheitsfunktionen würden intern lange getestet, bevor sie offiziell umgesetzt würden.
Rücksicht auf die OEMs
Es gibt indes auch Diskrepanzen zwischen den Interessen Googles und denen der Gerätehersteller. Zuletzt musste Google einen Rückzieher bei der Verschlüsselung der Anwenderdaten auf Android machen . Zunächst hatte das Unternehmen damit geworben, die Verschlüsselung sei seit Android 5.0 alias Lollipop Pflicht. In den Richtlinien für Hersteller heißt es hingegen, dass die Verschlüsselung während der Einrichtung des Geräts aktuell nicht obligatorisch sei, sie werde aber "dringend empfohlen" ( "strongly recommended" ), sie "sollte" ("should") aktiviert sein. Google wollte damit den Herstellern schwächerer Geräte entgegenkommen.
PGP-Plugin für Gmail in Chrome geplant
Langfristig will Google eine PGP-Verschlüsselung bei Gmail einführen. Einen konkreten Zeitplan gibt es aber noch nicht für die als Ende-zu-Ende-Verschlüsselung bezeichnete Funktion. Die Google-Entwickler arbeiten an einer Erweiterung für Chrome, mit der die Verschlüsselung umgesetzt werden soll. Auf die Frage, ob nicht der Browser und Javascript aufgrund mangelnder Sicherheit zu gefährlich seien, antwortet Somogyi, dass sich Google hier eine funktionierende und vor allem sichere Lösung zutraue. Dazu gehöre auch die Sicherheit des Chrome-Browsers selbst. Wer ganz sichergehen wolle, könne sich auch auf Googles Betriebssystem ChromeOS verlassen.
Auch für die Kompatibilität mit Nutzern außerhalb von Gmail soll durch den Einsatz von PGP gesorgt sein. Probleme bereite indes noch eine bessere Verwaltung öffentlicher Schlüssel, sagt Somogyi, der vor seinem Eintritt bei Google bei dem Unternehmen PGP gearbeitet hat. Dort habe man zwar einiges richtig gemacht, die Schlüsselverwaltung könnte aber besser umgesetzt werden. Details will Somogyi aber nicht verraten. Auch bei diesem Projekt sei vorrangig, dass das Plugin möglichst einfach umgesetzt werde, um dem Anwender die Verschlüsselung so einfach wie möglich zu machen.
Bounty-Programm sorgt für zusätzlichen Input
Dass Google auch mal Fehler macht, wurde jüngst durch die Chrome-Erweiterung Passwort-Warnung deutlich : Keine 24 Stunden nach deren erster Veröffentlichung musste der Entwickler nachbessern, nachdem ein externer Experte dort Fehler entdeckt hatte.
Googles Bug-Bounty-Programm, über das Dritte Berichte über Fehler einreichen können, die sie in Google-Produkten entdecken, hält Somogyi daher für unerlässlich. Zum einen sorge die Entlohnung dafür, dass externe IT-Sicherheitsexperten für ihre Arbeit entlohnt würden. Zum anderen sei das Projekt sehr erfolgreich, denn darüber würden auch Schwachstellen entdeckt, die die Entwickler bei Google übersehen haben.