*plönk*

Das ist zu einfach. Denn a) hat Google erst vor einiger Zeit dieses System so überarbeitet, dass es im Play Store nicht so ohne Weiteres möglich ist. Doch b) vergisst Du, dass es Geräte gibt, die ihre Apps niemals aus dem Play Store beziehen. Es gibt ihn nicht beim Kindle, es gibt ihn nicht auf der Ouya, bei vielen neumodischen Handhelds oder Set-top-Boxen, die auf Android setzen spielt der Play Store keine Rolle. Samsung bietet ja bspw. auch einen eigenen Store an, oder eben ein Hub für Apps.

Also zunächst möchte ich klarstellen, dass deine ersten beiden Aussagen völliger Unsinn sind:

Das Verifikationssystem von Goolges Play Store funktioniert in keinster weise so wie das des App Store; eine Applikation wird erstens nicht durch die Entscheidung eines Individuums aufgenommen oder abgelehnt, sondern durch einen äusserst komplexen Malwarescanner, und zweitens können Apps auch nicht durch Updates im Play Store kompromittiert werden, da sich dieses Prozedere bei jedem Update wiederholt. Die Apps können sich erst recht nicht selbst modifizieren, da entsprechender Code ein sofortiges KO-Kriterium für den eben erwähnten Scanner ist. Dass diese Regeln für alle Entwickler gelten, beweist das temporäre Entfernen der offiziellen Facebook-App aus dem Store. Der Grund: Die App sollte sich selbstständig aktualisieren.

Auch kann ein Gerät nicht ein anderes infizieren. Hierfür müsste eine manuelle APK-Installation durchgeführt werden; Es ist völlig unmöglich, auf Android schädlichen oder IRGENDEINEN Code auszuführen, ohne eine präparierte App händisch zu installieren oder auf eine solche App zurückzugreifen. Andoid ist aus technischer sicht eines der sichersten Betriebssysteme aller Zeiten: Alle Apps laufen auf einer Virtual Machine (der Dalvik VM) in ihrer eigenen Sandbox und können nur im Rahmen ihrer Berechtigungen handeln, insofern das Gerät nicht gerootet ist (viel zu kompliziert für den durchschnittlichen Nutzer), und müssen dann auch noch explizit nach Superuser-Rechten fragen. Selbst mit fremden Markets ist man also noch sicher. Die Dalvik-VM und vom Hersteller gegebene Treiber zur Steuerung der Hardware sind das EINZIGE, was direkt auf dem Kernel läuft, welcher selbst auch noch etliche Sicherheitsmechamismen besitzt und allgemein vorraussetzt, dass Programme vor der Ausführung als ausführbar markiert werden.

Die wahre Sicherheitslücke ist der Idiot, dem man das Recht gibt, über seine Hardware selbst zu walten, welcher dann aber trotzdem wahrlos auf „Installieren“ drückt ohne sein Gehirn einzuschalten und die App-Berechtigungen, oder gar die dreifache Warnung beim Aktivieren von „Unbekannte Quellen“ zu lesen. Am schlimmsten sind dann aber irgendwelche Online-poster, die uninformierten Mist erzählen und so Besorgnis bei anderen Nutzern auslösen, welche dann um ihre Sicherheit bangen müssen!

Vielleicht ist es wirklich besser so, wie es Apple macht: Man entzieht dem Nutzer jegliche Rechte und garantiert dafür Sicherheit, ohne über App-Berechtigungen darüber zu informieren, welche Daten die Apps denn nun nach Hause schicken…

Ich habe ebenfalls in meinem Blog darüber berichtet und hoffe, dass Google und die übrigen Hersteller mit einem weitreichenden Patch antworten.

Hm, eine App, die im Google Play Store von Google als „okay“ angesehen wurde, kann im zweiten Schritt schalten und walten wie sie möchte, oder?
Man gibt sich also erst als was anderes aus, und verwandelt sich dann, wie der Wolf im Schafspelz. Und: Ein infiziertes Gerät kann andere anstecken, ohne den Weg über den Google Play.

Und dann muss ich dir leider in die Parade fahren: 99% Google Play sind nicht nur utopisch, sondern schlichtweg falsch. Es gibt Android-Geräte, die gar keinen Zugriff auf Google Play haben, bzw. eigene proprietäre Systeme nutzen, vgl. Kindle Fire. Mit Android ist nicht nur Smartphone gemeint, sondern z. B. auch die Ouya oder Sonys Smartwatch. Nicht wahr? ^^

Und nur zur Erklärung, wir haben neben einem iPhone und einem iPad, selbst zwei drei Android-Geräte hier (2 Smartphones und 1 Ouya). Es ist also nicht so, dass hier irgendjemand schadenfroh wäre.

Wenn ich dir erzähle, dass es in deiner Stadt einen Schatz gibt, weißt du ja trotzdem nicht, wo er ist. Über die Medien muss man vor allem die Nutzer dazu bewegen, endlich Android zu aktualisieren. Wenn denn dann wenigstens alle Geräte zeitnah mit Patches bedacht würden.

Leider will sich auch der Entdecker der Lücke natürlich in den Vordergrund bringen und dramatisiert und verschweigt das wichtigeste dabei:
– 99% der User beziehen ihre Apps aus dem Play Store. Dort gibt es diese Schadsoft nicht.
– wenn man wirklich sich von irgendwelchen Warez-Seiten, wohlmöglich noch illegal was herunterläd und dies dann auch noch installieren will, MUSS man erstmal irgendwo in den tiefsten Einstellungen die Installation aus „fremden Quellen“ erlauben.
– wenn man wirklich dann noch so doof sein sollte und dies trotz Warnung tut, dann wieder versucht den fiesen download zu installieren, die weitere Warnung nochmals ignoriert – wird der download dann trotzdem nochmal auf Schadsoftware gescannt.

Alleine vom Lesen merkt man, dass es ziemlich schwierig ist dies alles zu umgehen. NIEMAND stellt diese Sicherheitsvorkehrungen aus! Schon gar nicht die erwähnten 900 Mio. Nutzer. Wer das wirklich vorsätzlich tut, muss sich schon sehr mit dem was er da tut auskennen. Diese Leute wissen dann auch was sie da tun. Außer Bluebox Security macht dies wohl keiner :)

Fazit ist dass die Lücke bei 99,9% der Benutzer nicht ausgenutzt werden kann.
Das sollte man dem Artikel nochmal hinzufügen. Gejailbreakte iOS Geräte können ja auch gleiche Weise aus fremden Download Quellen kompromittiert werden.