[Meinungssache] Mobile Schadsoftware und Sicherheit

[Meinungssache] Mobile Schadsoftware und Sicherheit
February 05 08:50 2014 Print This Article

Es gibt viele Studien und Meinungen zur Sicherheit von Betriebssystemen. Außerdem sollte man sich bewusst sein, von wem die Studien in Auftrag gegeben worden sind. Vor allem möchte ich auf eine kürzlich veröffentlichte Studie von Kindsight Security Labs näher eingehen. Viele Leute verstehen nicht, was dahinter steckt. Allein nur eine Zahl oder einen Graphen zu betrachten, völlig aus dem Kontext gerissen, ist nicht die Lösung.

Ich bin selbst Android-Fan(boy), wie man hier auch im Blog erkennen kann. Für mich ist es definitiv das beste System. Es gibt kein anderes System (bis jetzt), mit dem ich all das machen kann, was ich mache. Aber hier hat jeder seinen eigenen Geschmack und Vorstellungen. Ich sage ja immer Android ist mit das sicherste System, welches es gibt. Hier meine ich aber mehr den Punkt, wenn es um die ganzen Abhöraktionen und Co geht und nicht wie sicher es gegen Malware ist. Aber auch hier ist Android mit eines der sichersten Systeme. Also auf…

Die Studie, auf die ich mich hier beziehe, gibt es hier zum Download. Als erstes ist die Rede davon, dass ca 12. Mio mobile Geräte infiziert sind.

verbreitungHier das Verteilungsdiagram. Jetzt heißt es genau lesen. Als erstes finde ich schon die Aussage insteressant, dass 60% Android ist, 40% Windows und weniger als 1% auf Windows Phone, iOS und Blackberry abgeht. Das heißt, laut dieser Aussage wurden 100,xx % Geräte untersucht, was wiederum heißt, es waren mehr als tatsächlich verfügbar. Okay sehen wir darüber hinweg, da die Balken uns ja nicht genau 60% zeigen, der Rest zwar aber von Windows ausgefüllt wird. Wie gesagt, wir vernachlässigen diese Aussagen und gehen mal von den werten aus das knappe 60% bei Android liegen, kanppe 40% bei Windows und der Rest bei den anderen Systemen.

Wer sich jetzt schon gefreut hat und glaubt Android eins ausgewischt zu haben, der irrt. Man sollte genau lesen. Dort steht die ~40% sind Windows PC’s die mit dem mobilen Netzwerk verbunden sind. Das heißt z.B. Netbooks und Ultrabooks mit eingebauter SIM-Karte oder auch mit einem Surf-Stick. Android hat in der Hinsicht Windows als meist infiziertes Betriebssystem noch lange nicht überholt. Also wer ein noch sichereres System will, sollte von Windows weggehen, hin zu Mac oder besser noch Linux.

Rechnen wir das ganze mal durch. Gehen wir von 12. Mio infizierten Geräten (Android, iOS, Windows Phone, …) aus. Davon sind ja 60% Androiden, was dann 7,2 Mio Geräten entsprechen würde. Für Windows Phone und iOS muss ich eine Schätzung aufstellen, da es ja in die unter ein Prozent Beteiligung fällt. Ich bin mal von 0,2% für Windows Phone ausgegagen, da ja die Verbreitung von Windows Phone sehr zugelegt hat in 2013. Hierbei berufe ich mich auf untenstehendes Diagramm und hier der Link. Ich habe leider nichts anders gefuden, was sich auf weltweit bezieht. Aber man kann deutlich erkennen, das Windows Phone zulegt.

MarketShare2013

Für iOS habe ich 0,7% gerechnet, und 0,1% bleibt dann für die restlichen Systeme übrig, was so auch gut hinkommt mit der Grafik.

Also dann die 0,2% von den 12. Mio Geräten wären dann 24.000 Windows Phone Geräte. Nochmal zum Vergleich, Android liegt bei 7,2 Mio. Gegenüber steht noch iOS mit 84.000 Geräten.

Jetzt braucht man auch noch einen Wert um das in Relation zu setzen. Hier habe ich nur diese Tabelle gefunden von IDC.

Shippment2013

Nehmen wir die markierten Zahlen aus dieser Tabelle, so erhalten wir eine Verteilung von

  • 3,4% für Android
  • 0,25% für iOS
  • 0,25 für Winodws Phone

an infizierten Geräten bezogen auf die Masse der Verfügbaren Geräte in er Tabelle oben.

Aber moment, das würde ja heißen Windows Phone und iOS liegen gleich auf. Ja in diesem konkreten Beispiel schon, da wir hier von der Verkaufszahl im 3. Quartal 2013 ausgegangen sind, unser Statistik von Kindsight Security Labs bezieht sich jedoch auf alle im Moment verfügbaren Geräte. Desweiteren sind vieles Prozente von Prozenten und da es nicht wirklich genaue Zahlen gibt ist das immer eine ungenau Rechnung.

Um das weltweite Verhältnis zu sehen, brauchen wir globale Marktanteile. Jetzt müssten wir hier wieder eine Übersicht finden. Im März 2013 war man bei 900 Mio aktivierter Android Geräte. Bezogen auf die Marktanteile (siehe Grafik unten), erhält man diese Zahlen für die anderen Systeme.

marketshare2012-2013

  • Android: 900 Mio
  • iOS: 376,12 Mio
  • Windows Phone: 67,16 Mio

Okay, ich hoffe soweit ist noch jeder mitgekommen. Setzt man dies wiederum in Bezug auf die oben errechneten Anteile (Android: 7,2 Mio, iOS: 84.000, Windows Phone: 24.000) so erhält man folgende Protzentwerte:

Prozentsatz der betroffenen Geräte weltweit:

  • Android: 0,8 %
  • iOS: 0,022
  • Windows Phone: 0,036

Rechnet man diese Werte nun alle zusammen, kommt man auf einen Wert von 0,893% infizierter Geräte weltweit und plattformunabhängig. Dieser Wert ist auch ziemlich nahe an der in der Studie dargelegten Zahl von 0,55%.

Infection-rate-2013

Dies liegt an den Rechenungenauigkeiten der verwendeten Diagramme. Da es Statistiken gebraucht hätte, am besten vom gleichen Institut, welche alle zur gleichen Zeit gemacht wurden. Somit fluktuiert diese Rechnung etwas. Man dürfte daher bei Android auch schon die 1 Mrd. Grenze an Geräten durchbrochen haben.

Dies ist keine hunderprozentige Rechnung, daher kann ich auch nicht glauben das Windows Phone höher als iOS liegt.

Ja Android ist gefährdet, aber nicht allein deswegen weil es Android ist, sonden zu 99,9% wegen der Verbreitung. Stellt euch vor, ihr währt eine Autoschieberbande, was würdet ihr eher klauen, ein einzelnes Fahrzeug oder lieber einen ganzen LKW voll mit Fahrzeugen. Natürlich würde man zum LKW tendieren, da hier die Gewinnmarge größer ist. Es geht doch bei allen immer nur ums Geld.

Bestes Beispiel hierfür Microsoft: Bing Rewards (Mobile) gibt es als erstes für Android und iOS und wird demnächst für das hauseigene Betriebssystem Windows Phone kommen. Und warum? Wenn jetzt jemand sagt, es ist so schwierig, für die Macher von Windows Phone, für diese Plattform zu programmieren, der zielt daneben. Auch hier get es wieder um den Verbreitungsgrad! Android als Nummer 1 gefolgt von iOS sind halt immer noch die großen Player. Ja ihr habt Recht. Google ist auch nicht unschuldig, die machen dafür andere Sachen, aber worum geht es bei Google? Richtig! Um Geld, wie bei jedem. Achja habt ihr euch schon mal überlegt, warum man bei Bing Credits für’s suchen bekommt? Natürlich, die wollen, dass ihr Bing anstatt einer anderen Suchemaschine verwendet. Denn dann kann man dort wieder die eigene Werbung plazieren und Geld verdienen. Ein Kreislauf, aber nun schweifen wir zu weit vom Thema ab.

Aber der wichtigste Sicherheitsfaktor in jedem System ist der Mensch. Ich habe schon viele davon reden gehört, dass viele Menschen einfach “dumm” sind in dieser Hinsicht. Das würde ich aber so nicht sagen. Es gibt halt Menschen, die sind keine Geeks und Nerds so wie du und ich. Die interessieren sich z.B. für Gartenbau, Sport, Modellbau und sonstigem.

Ein großer Faktor für dieses ganze Problem der Schadsoftware und auch der Infizierungsrate ist die “Gier der Menschheit”. Wie oben schon gesagt, zielt man immer auf den größten Anteil ab, da sich der Aufwand hier mehr lohnt, so ist es auch in der Studie von Kindsight beschrieben:

Reasons

Aber eine zweite Schwachstelle ist auch die Gier der Nutzer, weswegen auch überhaupt erst Schadsoftware aufs Handy gelangt in den meisten Fällen. In Android lässt sichSoftware von externen Quellen installieren, was eine gute Sache ist, aber auch oft missbraucht wird. Viele User sind einfach zu gierig bzw. zu geizig für die Apps zu zahlen und laden diese dann von irgendwelchen Warez-Seiten, bei denen diese natürlich manipuliert wurden mit Schadsoftware. Also wieder der Faktor Mensch. Um externe Software zu installieren, muss auch eine entsprechende Einstellung im System vorgenommen werden, welche standardmäßig nicht aktiviert ist (auch hier wieder der Faktor Mensch).

Ein weiteres Problem ist auch, dass vielen Anwendern einfach der Weitblick in Sachen Sicherheit fehlt. Wie oben schon geschrieben. Nicht jeder Smartphonenutzer ist ein Geek/Nerd, welcher sich intensiv mit dem Thema auseinander setzt. Für die hört sich die Zahl von 7,2 Mio infizierten Androidgeräten auch hoch an. Aber hier wird die Relation vernachlässigt.

Man muss die Leute einfach mehr auf die Risiken aufmerksam machen die im Netz lauern. Diese werden von den Meisten nicht wirklich ernst genommen, da man sie ja nicht sehen oder anfassen kann.

In der Realität ist man sich ja auch bewusst, wenn man das neuste Auto, mit der besten Sicherheit im NCAP Crashtest und der besten Alarmanlage der Welt, gekauft hat, dass man es dann nicht einfach mit offenen Fenstern oder offenem Verdeck (beim Cabrio) stehen lässt und sich darauf beruft: Ich habe die beste Alarmanlage der Welt. Hier wird die Gefahr deutlich besser wahrgenommen. Ich habe mich mit einigen Experten auf diesem Gebiet schon unterhalten und auch die sind der gleichen Meinung und nicht nur ich weil ich ein Android Fan(boy) bin und andere schlecht machen will, wie z.B. eine große Firma aus diesem Bereich. Anstatt Inovationen selbst zu zeigen, zieht man lieber über die Konkurenz her und sagt doch wie schlecht diese sei, mit Argumenten die auch auf der Kippe stehen.

Die “Digital Natives”, also die kommenden Generationen, werden dies wohl anders sehen (hoffentlich). Sie wachsen mit diesen Technologien auf und es wird auch ein allgemeines besseres Verständnis dafür da sein. Nicht nur in der Nutzung sondern auch im Ausblick auf Sicherheit und Verantwortung.

Jetzt noch ein kleiner Nachtrag zur Studie. Mir ist etwas aufgefallen, was viele wahrscheinlich nicht bemerkt haben. Erst mal eine Frage. Wenn ihr unterwegs seit, dann seht ihr doch viele Menschen mit ihren Smartphones surfen, egal ob im Kaffee, im Zug, im Restaurant, sogar beim Autofahren. Wie viele User seht ihr, die mit ihrem Windows PC (Laptop, Tablet, usw) ins mobile Netz gehen. Damit ist jetzt nicht der W-Lan Hotspot bei McDonalds gemeint. Laut der Studie sind 40% von den 12 Mio infizierten Systemen, Windows PC’s im mobilen Netzwerk. Betrachtet man das Verhältnis von Smartphones zu mobilen Computern, würde dies bedeuten, dass eigentlich jeder mit einem Windows-PC und mobilem Internet infiziert ist. Dies halte ich jedoch eher für absurd. Realistischer ist, dass sich diese Leute auch Zuhause oder im öffentlichen WLAN (wahrscheinlicher) etwas eingefangen haben.

Sicherheitsaspekt:

Kommen wir zum Sicherheitsaspekt im Bezug auf die Abhöraffäre, welche zur Zeit durch die Medien geht.

Viele denken bei Android an Google, Samsung, HTC usw…ja das stimmt auch. Diese verwenden Android auf ihren Smartphones. Android ist aber ein Open Source Betriebssyste. Im Vergleich hier zu den beiden Anderen, das Einzige auf Open Source Basis.

Ja ein Smartphone, welches so aus dem Handel kommt ist jetzt nicht sehr sicher, da wir ja wissen das alle drei (Google, Apple und Microsoft) kompromittiert sind. Wer aber will, kann sein Android Gerät sicher machen, z.B. CustomROM’s oder auch komplett selbst kompilieren. Dies geht auch nur bei Android, da man vollen Zugriff auf alles hat, inklusive dem Herzstück eines jeden Systems, den Kernel. Wer will kann sich das selbst zusammen basteln und dazu sind nicht mal großartige Kenntnisse in der Programmierung nötig, mittlerweile gibt es schon Tools, für Android und den Kernel, bei denen sich durch klicken und drag&drop das ganze System “zusammenbauen” lässt. Was macht man bei den anderen beiden Systemen? Richtig! In die Röhre schauen, da man nichts am System ändern kann. Bei Windows Phone ist es noch etwas extremer als bei iOS aber dennoch ist man bei beidem den Lauschangriffen ausgesetzt.

Eine kurze Einwendung. Ja jedes System ist knackbar, auch das selbstgebastelte Android, aber dann muss man schon gezielt und genau auf dieses System abzielen. Somit fällt man schon mal aus der Metadaten-Sammlung der Späher heraus, welche einfach nur aus Prinzip alles mitschneiden. Egal ob man verdächtig ist oder auch einfach nur ein normaler Bürger. Wie gesagt, es gibt kein 100% sicheres System und wer auch immer dies behauptet, hat sich automatisch eine Zielscheibe aufgemalt.

Das Blackphone, welches die Privatsphäre der Nutzer schützen soll, basiert auch auf einer abgewandelten Version von Android. Man hat es aber nicht verwendet weil es kostenlos ist, sondern weil es sich gut anpassen lässt und für den Einsatzzweck passt. Klar könnte auch Windows Phone oder iOS verwenden werden, jedoch ist man hier sehr sehr limitiert und die Türchen werden auch dann nicht ausgebaut, was ja dann dem Ganzen widerspricht. Auch eines der Handys für die Kanzlerin basierte auf einem Samsung Galaxy S3 mit einer abgewandelten Version von Android, entwickelt durch die Telekom.

Nicht umsonst ist Phil Zimmermann mit an Board bei Blackphone. Er ist der Erfinder der offenen Verschlüsselung PGP, welche bis heute defakto Standard ist bei der Verschlüsselung von E-Mails, Dateien und Co.

Wer jetzt über OpenSource schimpft, dass es das Scheunentor schlechthin sei, weil ja jeder in den Code sehen kann, der sollte sich folgendem bewusst sein. Ist das Scheunentor schon eingebaut, wird die Scheune drum herum erst gar nicht gebaut. Sprich die Software verschwindet und wird nicht akzeptiert. OpenSource Software wird auch von vielen freiwilligen wie Institutionen geprüft. Wer will kann es auch selber prüfen und die Software selbst kompilieren um sicher zu gehen, dass ihm nichts untergejubelt wurde im fertigen Programm.

ClosedSource könnte man eher als Apfel mit Wurm bezeichnen. Irgendwann treten die Schwachstellen hervor und irgendjemand findet sie. Von den eingebauten Türchen wusste bis vor kurzem keiner was, bis man Mitte letzten Jahres auf diese Sachen aufmerksam wurde. Open Source steht also der Closed Source in nichts nach. Keiner ist besser oder schlechter, da es, wie schon erwähnt, keinen 100%igen Schutz gibt. Das Thema kann man unendlich weiterführen und ich möchte hier nur mal einen Überblick darüber gegeben haben.

Nochmal eine kurze Zusammenfassung: Es sind mehr Androidgeräte als andere Plattformen infiziert, aber wie im Beitrag schon erwähnt, geht es nur um die Lukrativität. Wäre iOS oder Windows Phone so verbreitet, würde es andersrum aussehen. Auch sollte man den Prozentwert der gesamten Verbreitung nicht unterschätzen. Ja diese Zahlen sind schockierend und klingen erst mal hoch, aber man muss erst mal das ganze Bild sehen uns sich nicht von einer großen Zahl überrennen lassen.

Wer über OpenSource schimpft, muss sie ja nicht verwenden, wobei sie Bestandteil von fast allem heutzutage ist. Von Fahrzeugen und Flugzeugen, Smartphones und SmartTV’s.

Dies war ein kleiner Überlick über die ganze Sache und ich will damit niemanden kritisieren. Jeder kann doch seine Plattform frei wählen und wer Menschen einstufft rein aufgrund von Gegenständen, wie Smartphones, Autos oder auch Geld, der ist für mich der Verlierer. Es heißt Leben und Leben lassen. Ich habe nie behauptet, dass Android ein uneinnehmbares Fort ist. Ich bin mir selbst der Problematik sehr wohl bewusst. Wer nicht bereit ist, offen darüber zu diskutieren und auch die andere Seite anhören will, der sollte es auch lassen. Für mich war einfach Android die Wahl der Wahl und ich habe es bis heute nicht bereut. Bin glücklich mit Android und ich habe auch nix dagegen wenn sich wer ein iPhone, Windows Phone oder auch FirefoxOS Smartphone kauft. Es kommt auf den Einsatzzweck an, was man damit machen will, bereits bestehende Infrastruktur, Nähe zu einer Firma oder Organisation. Wer will, kann sich auch mal die Spezifiaktionen für Android 4.5 ansehen und wird da einige interessante Sachen finden. Somit wünsch ich allen jetzt weiterhin viel Spaß mit den eigenen Geräten und seit vorsichtiger bei dem was ihr macht und wie ihr es macht.

(C) Grafiken, siehe entsprechende Links.

Peter
Blogger at Mobtivity
I'm using multi-billion dollar satellites to find "tupperware" in bushes.
  Article "tagged" as:
  Categories:
write a comment

0 Comments

No Comments Yet!

You can be the one to start a conversation.

Add a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.