Android-Malware im Umlauf: Argumente für und wider Pallenberg
Alexander Trust, den 4. Februar 2015Sascha Pallenberg findet gerade Argumente für mediale Hysterie bei Meldungen zu Malware auf Android (und anderen Betriebssystemen). Wenn der MobileGeeks-Herausgeber argumentiert, dann gibt es wie so oft, zwei Seiten.
Klar ist, dass wenn man eine Haltung wie die Pallenbergs einnimmt, man sehr schnell in einer Verschwörungstheorie endet, die lautet: Viren wurden nur erfunden, damit Software-Hersteller mit der Angst der Nutzer Geld machen können. Tatsächlich ist alles aber deutlich komplexer.
Ist Adware Malware…?
Im vorliegenden Fall schreibt TechCrunch über Adware, Slashgear würde daraus direkt Malware machen, beschreibt Pallenberg.
„Los geht es mit der AOL-Publikation Techcrunch, (…). Beeindruckt vom Totenkopf Aufmacher bei Techcrunch, legt auch Slashgear gleich nach und macht aus der Adware mal schnell ne Malware!“
Sascha Pallenberg
Das ist so nicht korrekt. Direkt im ersten Satz (wenn man nicht nur Überschriften liest, lieber Sascha), schreibt TechCrunch ebenfalls von Malware. Damit ist der erste Aufhänger direkt im Keim erstickt.
„A new report from security firm Avast out this morning reveals the discovery of a new form of malware (…), which begins to display advertisements disguised as warning messages to end users when they unlock their Android smartphones.“
TechCrunch
Adware ist Malware
Doch rein von der Begriffsklärung ist Pallenbergs Versuch, die Malware kleinzuschreiben, nicht von Erfolg gekrönt. Adware, so wird für unkundige Nutzer in der Wikipedia erläutert, sei Software, „die dem Benutzer zusätzlich zur eigentlichen Funktion Werbung zeigt bzw. weitere Software installiert, welche Werbung anzeigt. Adware ist üblicherweise kostenlos und funktionell uneingeschränkt.“ Diese Beschreibung hat aber so gar nichts mit dem vorliegenden Fall zu tun. Es folgt aber weiter ein sehr wichtiger Satz: „Auch Malware, die Werbezwecken dient, wird als Adware bezeichnet.“ Es gibt also schon bei der Begriffsdefinition eine eindeutige Überschneidung dieser beiden Begriffe. So scharf zu trennen, wie Pallenberg es möchte, sind die Begriffe nicht.
Viel Lärm um Nichts?
Pallenberg stört sich an der Hysterie, die um solche Meldungen gemacht wird. Die Behauptung des IT-Spezialisten von Avast, der Urheber der Aussage ist, ist allerdings an Fakten aus dem Google Play Store zu belegen. Denn die Malware wurde in Apps gefunden, die auch englischsprachige Nutzer anspricht „und“ laut Play-Store-Statistik, von Millionen von Nutzern heruntergeladen wurde. Eine der Apps, die betroffen ist, ist das Kartenspiel Durak, das laut Play Store 5 bis 10 Millionen Nutzer heruntergeladen haben. Das sind keine Peanuts, Sascha.
Geo-Profile ausgelesen
Alle diese Nutzer sind entsprechend gefährdet. Ihnen wird – Stand jetzt – nur blöde Werbung in Form eines Warnhinweises gezeigt, ihr Smartphone sei verseucht, sie sollten Sicherheitssoftware kaufen. Dies geschieht immer dann, wenn die Nutzer ihr Smartphone zur Hand nehmen und über den Unlock-Bildschirm entsperren. Dass Apps wie diese womöglich Hintertürchen einbauen (können), Smartphones womöglich für DDoS-Angriffe zweckentfremden oder Nutzerdaten kapern (Ransomware) gab es und gibt es immer wieder. Doch alleine durch die Anzeige der Werbung, werden Geodaten über die IP des Nutzers preisgegeben und dessen Tagesrhythmus und Handynutzung durch die regelmäßige Übertragung offenbart. Dasselbe Problem hat zuletzt ein Update von OS X nötig gemacht, weil die Spotlight-Suche entfernte Webseiten-Daten in HTML-Mails trotz anderer Einstellung via intelligentem Suchfeld außerhalb Mails geladen hatte. Das alleine ist schon Datenschutz-thematisch relevant.
Ganz zu schweigen davon, dass diese im Hintergrund ausgeführte Malware zudem den Akku der Android-Smartphones frisst. ;)
Henne und Ei
Pallenberg kritisiert dann die Nutzer, die Apps mit schlechter Übersetzung im Beschreibungstext herunterladen würden und App-Store-Rezensionen mit Hinweise auf einen Virus ignorieren würden. Einerseits können deutsche Gymnasiasten ihre eigene Muttersprache nicht korrekt formulieren, wer würde dann von ihnen erwarten, dass sie „komisches“ Englisch auf Anhieb erkennen?
Dazu kommt, dass sowohl bei Google als auch bei Apple oder Amazon, die Rezensionen erst nach Klicks oder Scrollen sichtbar werden, wie man am Screenshot oben angedeutet erkennt sind diese auf den ersten Blick nicht zu sehen. Auf den ersten Blick sehr wohl zu sehen sind Sterne. Im Fall des Kartenspiels Durak, das Google mittlerweile aus dem Play Store entfernt hat, gab es bei über 42 000 Bewertungen noch immer 4 von 5 Sternen. Für Nutzer, die schnell auf der Suche nach einem Kartenspiel waren, wirkt das Vertrauen erweckend genug. Dass Bewertungen extra zu diesem Zwecke manipuliert werden, ist ein offenes Geheimnis.
Nun möchte ich aber ebenfalls erwähnen, dass die Hinweise auf einen Virus in den Rezensionen dort nicht „immer schon“ sind, sondern „immer erst“ Nutzer in die Falle tappen müssen, um von dieser Erfahrung berichten zu können. So wie beim Crowdfunding binnen 3, 4 oder 5 Stunden hunderttausende Dollar erzielt werden können, gibt es manchmal App-Downloads, die pro Stunde mehr Downloads erzeugen, als MobileGeeks und Macnotes gemeinsam Nutzer. Die Kritik von Pallenberg, die Nutzer würden also die Rezensionen nicht lesen, kann man vor allem bei frisch veröffentlichten Apps nicht als Argument stehen lassen.
Verschwörungstheorie
Am Ende läuft bei Pallenbergs Argumentation alles auf eine Verschwörungstheorie hinaus, weil ihm Avast zu wenig erklärt und aber die eigene Antivirus-Software promotet. Fakt ist aber, dass der Avast-Spezialist noch vor der Werbung, nämlich ganz am Anfang seines Artikels auf das Forum verlinkt, wo ein Nutzer diese Adware angezeigt habe. Der Ursprung lag also nicht bei Avast, sondern bei einem technisch versierteren Nutzer. Dieser hat erklärt, dass die Apps sich nicht sofort als Adware zu erkennen geben, sondern frühestens 7 Tage nach dem ersten Start und einem Re-Boot des Systems überhaupt losschlagen. Dann von den Nutzern zu erwarten, sie hätten es besser wissen müssen, wenn womöglich über eine Woche alles funktionierte, ist von Pallenberg bigott.
Zum Abschluss ein paar halbwegs versöhnliche Worte: Natürlich arbeiten bei Antiviren-Herstellern Marketing-Menschen, die einem etwas verkaufen wollen. Doch die tägliche Arbeit der IT-Forensiker mit echter Malware und böswilliger Schadsoftware kann man deshalb nicht von der Hand weisen.