AVG und Avast: Android-Virenscanner schnüffeln Nutzer aus

Smartphones und Tablets, sie sind aus unserem hochtechnisierten Lebensalltag nicht mehr wegzudenken. Angesichts der Fülle an Informationen über den Nutzer die diesen kleinen Dingern innewohnen (vom Telefonbuch über den Kalender bis hin zu Informationen über Surfverhalten, Vorlieben und Interessen) wecken unsere „Kleinen Freunde“ immer mehr Begehrlichkeiten Dritter. So scheint heute der wichtigste Garant für ein funktionierendes Business die umfassende Kenntnis des Nutzerverhaltens.

Was liegt da also näher, als sich diese Informationen über den Nutzer selbst und sein Smartphone/Tablet zu besorgen, zumal sich diese ihre Verwendungszweck nach stets durch diverse Netze und Netzwerke bewegen und somit viel anfälliger für Angriffe bzw. Zugriffe sein dürften?

Ein Muss: Verlässlicher Schutz mobiler Endgeräte

Daher ist es wichtig, sich mit der Frage auseinander zu setzen:

„Wie sichere ich mein Smartphone/Tablet so, dass ein Zugriff Dritter auf meine Daten nicht möglich ist?“

Das Mindeste, was hier zu beachten sein dürfte, ist die Installation eines aktuellen und sicheren Antivirenschutzes, welche von vielen Anbietern für alle gängigen Betriebssysteme angeboten werden. Diese Software soll Schadcode erkennen und unschädlich machen und den Anwender so vor dem Zugriff Dritter bewahren.

Freund oder Feind?

Was aber, wenn nicht ein unbefugter Dritter Zugriff nimmt, sondern gerade der eben noch vertrauensvoll ausgewählte Softwareanbieter selbst. Diese es also offensichtlich mit seiner Verpflichtung gegenüber dem Nutzer, dessen Daten und Informationen zu schützen, nicht sonderlich ernst zu nehmen scheint?

Wie nunmehr  Heise in der aktuellen Ausgabe der c’t berichtet, werden insbesondere für Android-basierte Endgeräte Virenscanner diverser Anbieter an den Kunden gebracht, die Informationen über das Nutzerverhalten in erheblichem Umfang an den Anbieter weiter leiten. Hierzu untersuchte Heise insgesamt 6 der derzeit angesagtesten kostenlosen Antiviren-Apps für Android.

Safe-Browsing als Wolf im Schafspelz?

Der Zugriff auf teilweise sensible Nutzerdaten erfolgt nach Erkenntnissen von Heise im Zusammenhang mit der sog. Safe-Browsing-Funktion, bei der beim Besuch potentiell bösartiger Webseiten eine Alarmmeldung erfolgen soll. Um dies zu ermöglichen, wird die URL der aufgerufenen Webseite zuvor bei der Hersteller-Cloud mit den dort als „bösartig“ eingestuften URL abgeglichen.

Wie Heise hierzu ausführt, scheinen einige Apps mehr Informationen zum Anbieter zu übertragen, als eigentlich für diesen Abgleich erforderlich wäre.

So fand Heise heraus, dass

„Die meisten Apps die vollständige URL der aufgerufenen Web-Seite übertragen. Zwei der Testkandidaten, nämlich die Apps von Avast und AVG, machten sogar vor den an die Adresse angehängten URL-Parametern nicht Halt. Diese können vertrauliche Daten wie etwa Passwörter oder Session-IDs enthalten. Die beiden Apps wurden zusammen über 150 Millionen Mal installiert.“

Zusätzlich fand Heise heraus, dass fast alle der untersuchten Virenschutz-Apps die Safe-Browsing-Anfrage – auch beim https – im Klartext übertrügen.

Ein Angreifer kann so darauf schließen, welche Unterseiten und Funktionen man ansteuert. Normalerweise würde er bei HTTPS-Traffic nur erfahren, mit welchem Server man spricht.,

so Heise.

Fazit

Manchmal sitzt der „Feind“ im eigenen Lager!

PS: AVG und Avast teilten auf Nachfrage der ct bereits mit, die aufgefundenen Schwachstellen zeitnah beheben zu wollen.