Im Februar hatte Google erstmals erklärt, wie der «Wachhund» Bouncer funktioniert: Die Sicherheitsroutine gleicht alle vorhandenen und neuen Apps regelmässig mit einer Datenbank ab, die jede bekannte Form von Schadcode enthält. Und genau dieses System konnten die Sicherheitsexperten nun durch ein besonderes Verfahren umgehen.
«Gute» App wird später mit Schadcode angereichert
Die Experten luden eine «gute» App in den Play Store hoch, die alle Sicherheitsprüfungen bestand. Das «SMS Bloxor» genannte Programm sollte der Filterung ankommender SMS dienen, hatte aber lediglich den Zweck, den Bouncer zu testen. Mit einem Preis von 50 Dollar bestand kaum Gefahr, dass ein Anwender die App aus Versehen kaufte. Nachdem die App erst einmal im Play Store angekommen war, luden die Entwickler über Javascript-Bridge-Updates nach und nach Schadcode in das Programm. Bei diesem Verfahren muss die App selbst nicht neu installiert werden. Anschliessend ermittelten die Experten den IP-Adressenbereich des Bouncers und liessen die App den Schadcode nur ausserhalb dieser «Überwachungszone» ausführen.
Google ist gefordert. /
Danach wollten die Hacker wissen, wann der Wachhund endlich anschlagen würde. Ein Ausschalten der IP-Sperre bewirkte noch keine Änderung - der Schadcode liess sich problemlos weiter ausführen. Danach begann die App damit, Fotos und die Telefon-ID auszulesen und die Liste der Anrufer zu kopieren. Schliesslich liessen die Experten die App im Sekundentakt eine Kopie des Adressbuchs an einen externen Server schicken. Erst dann blockierte Bouncer den Entwickleraccount und entfernte die App aus dem Play Store.
Für die Lösung des Problems gibt es nach Auffassung der Sicherheitsexperten zwei Möglichkeiten. Auf der einen Seite könnte Google das interne Update-Verfahren über die Javascript-Bridge abstellen - damit wäre bei jeder Code-Änderung ein kompletter Neu-Upload in den Appstore notwendig. Andererseits könnte man die Sicherheitsprüfung auf das Smartphone des Nutzers verlagern - dazu müsste der Bouncer eine feste Systemkomponente von Android werden. Auf jeden Fall besteht für Google nun Handlungsbedarf.
