Wenn wir eine App auf dem Handy oder eine Software auf dem Rechner installiert haben, dann sehen wir oftmals, wenn es ein Update gibt oder wir erhalten die Updates automatisch, weil wir es so eingestellt haben. Gerade Sicherheitsforscher und Unternehmen drängen darauf, die Software immer zeitnah zu aktualisieren, da nur so die Sicherheit gewährleistet sei.
Wirklich?
Manche oft heruntergeladenen und sehr gut bewerteten Apps sind gefährlich. Sie erarbeiten sich einen guten Ruf, machen einen guten Job, alles ist in Ordnung, Sicherheitsforscher sagen die App ist unbedenklich und dann erhalten Sie ein Update in dem sich Werbung oder Malware oder beides befindet. Unglaublich? Hier ein aktuelles Beispiel:
Die Android App „Barcode Scanner“ ist so ein Fall. Sie scannt Barcodes und QR Codes und wurde mehr als 10 Millionen Mal heruntergeladen. Die Benutzer haben sich sicher nichts dabei gedacht, als sie ein Update heruntergeladen haben. Doch beim nächsten Benutzen waren sie genervt. Die Applikation, die so gut bewertet und respektiert war, enthielt Malware, die auf den Geräten andauernd Werbung anzeigte. Sie enthielt einen Trojaner (Software, die sich in anderer Software versteckt und Schaden anrichtet), Android/Trojan.HiddenAds.AdQR. Die App enthielt auf einmal Programmcode, der massiv Werbung einblendete. Dieser Code wurde im originalen Code versteckt, so dass er nicht so leicht zu finden war.
Wie konnte es dazu kommen?
Bekannte, gut bewertete und oft heruntergeladene Apps sind mittlerweile ein Ziel von Firmen, die den Entwicklern eine Menge Geld (für die Entwickler, die oft gar keinen Profit mit der App machen) anbieten und dann diese Apps entweder mit Malware verseuchen oder sie an Firmen weiterverkaufen, die das dann machen. In diesem Fall gab Malwarebytes, eine Firma die solche Dinge untersuchen, der Firma Lavabird die Schuld, da sie zu dem Zeitpunkt der Eigentümer der App war.
Lavabird told the Malwarebytes folks that they develop, sell, and buy mobile applications. So monetary transactions of mobile applications has become a thing.
https://www.grc.com/sn/SN-807-Notes.pdf
Hier agierte Lavabird als Zwischenstelle für den Käufer und Verkäufer. Lavabird kaufte den Code vom Entwickler am 23.11.2020 und den Deal mit dem Käufer schlossen sie am 25.11.2020 ab.
Um den Käufer zufrieden zu stellen und damit er sicher sein konnte die richtige App zu kaufen, erhielt er von Lavabird das Passwort und den Softwareschlüssel (zur Verifikation der Software) zur Google Play Konsole (darüber können Entwickler ihre Apps im Google Play Store verwalten, zum Beispiel um Updates zu veröffentlichen oder Nutzerzahlen zu sehen). Der Käufer, „the space team“ testete diese Zugangsdaten indem sie ein Update der App in den Google Play Store luden. Am 7. Dezember 2020 übernahm „the space team“ die Applikation offiziell in ihren Account bei Google. Am 5. Januar 2021 hat Google die App aus dem App Store geschmissen.
Die Frage ist: Was ist zwischen dem 23.11. und 25.11. passiert? Denn in genau diesen Zeitraum fiel das erste Update mit der Malware. Zu diesem Zeitpunkt hatten die „noch nicht neuen“ Eigentümer die Malware in die Software eingebaut um zu erkunden, ob diese Veränderung von den Google Algorithmen erkannt würde oder nicht.
From our analysis, what appears to have happened is a clever social engineering feat in which malware developers purchased an already popular app and exploited it. In doing so, they were able to take an app with 10 million installs and turn it into malware. Even if [only] a fraction of those installs update the app, that is a lot of infections. And by being able to modify the app’s code before full purchase and transfer, they were able to test whether their malware would go undetected by Google Play on another company’s account.
Nathan Collier, Malwarebytes
Wäre das schief gegangen, hätten Sie den Kauf nicht durchgezogen, Lavabird wäre auf der Software sitzen geblieben und „the space team“ hätte sich eine andere App gesucht. In weiteren Updates, beginnend mit dem 27.11.2020, haben sie die Malware weiter versteckt.
Ähnliche Mechanismen finden auch an anderer Stelle statt. Viele Webseiten im Internet werden mit WordPress erstellt, so auch diese hier. Auch hier haben sich in der Vergangenheit bei Plug-Ins Probleme ergeben. Es ist letztendlich egal, welche Software Sie aktualisieren, es kann Ihnen immer passieren.
Als normaler Benutzer sehen Sie nicht, wenn die App den Eigentümer wechselt oder Sie schauen nicht darauf. Haben Sie sich den Eigentümer der letzten von Ihnen heruntergeladenen App gemerkt? Doch genau das sollte es geben, im Google Play Store und im Apple App Store. In diesem Fall ging es nur um Werbung. Aber was passiert, wenn schlimmere Malware installiert wird? In einer App, der Sie alle Rechte auf dem Android Phone gegeben haben? Ausserdem könnten die App Store Anbieter Updates separat anzeigen oder markieren, die von einem neuen Eigentümer vorgenommen werden. Dann hat der Benutzer, Sie, die Chance sich zu überlegen, ob er das Update installieren will und wenn er feststellt, dass auf seinem Gerät etwas „komisch“ läuft, kann er es zumindest dem letzten Update zuschreiben. Auch hilfreich wäre, wenn Updates kenntlich gemacht werden, die geschehen, während eine Software in einer Übergangsphase von einem zum anderen Eigentümer ist. Bis dahin, lieber Leser, sind Sie auf sich gestellt. Also: Augen auf im Datenverkehr.
Ein Grund für mich, ein iPhone und kein Android Phone zu benutzen ist der aus meiner Sicht sehr viel bessere Schutz von Apps im Apple App Store verglichen mit dem Google Play Store. Und so wenige Apps wie möglich auf meinen Handy zu installieren.
Meine Einstellung.