Android hat ein kleines Malware-Problem. Die Flexibilität des offenen Ökosystems macht es auch für infizierte Apps relativ einfach, in App Stores von Drittanbietern oder auf bösartigen Websites zu verbreiten. Noch schlimmer ist, dass sich von Malware befallene Apps mit enttäuschender Häufigkeit in den offiziellen Play Store schleichen. Nachdem sich Google ein Jahrzehnt lang mit dem Problem auseinandergesetzt hat, fordert Google einige Verstärkungen an.
Heute kündigt Google eine Partnerschaft mit drei Antiviren-Unternehmen an - ESET, Lookout und Zimperium -, um eine App Defense Alliance zu gründen. Alle drei Unternehmen haben im Laufe der Jahre umfangreiche Android-Malware-Untersuchungen durchgeführt und bestehen Beziehungen zu Google, um festgestellte Probleme zu melden. Jetzt werden sie ihre Tools zum Scannen und Erkennen von Bedrohungen verwenden, um neue Google Play-Beiträge zu bewerten, bevor die Apps online gehen - mit dem Ziel, mehr Malware zu fangen, bevor sie überhaupt in den Play Store gelangen.
"Auf der Malware-Seite hatten wir nicht wirklich die Möglichkeit, so viel zu skalieren, wie wir skalieren wollten", sagt Dave Kleidermacher, Google-Vizepräsident für Android-Sicherheit und Datenschutz. "Die App Defense Alliance ermöglicht es uns, den Ansatz des offenen Ökosystems auf die nächste Ebene zu heben. Wir können Informationen nicht nur ad hoc austauschen, sondern Engines auf digitaler Ebene wirklich zusammenführen, sodass wir in Echtzeit reagieren können." Erweitern Sie die Überprüfung dieser Apps und wenden Sie sie an, um den Schutz der Benutzer zu verbessern."
Es kommt nicht oft vor, dass jemand bei Google - einem Unternehmen von scheinbar grenzenloser Größe und Reichweite - über Probleme spricht, ein Programm im erforderlichen Umfang zu betreiben.
Jeder Antivirenanbieter in der Allianz bietet einen anderen Ansatz zum Scannen von App-Dateien, die als Binärdateien bezeichnet werden, auf rote Fahnen. Die Unternehmen suchen alles von Trojanern, Adware und Ransomware über Banking-Malware bis hin zu Phishing-Kampagnen. Die ESET-Engine verwendet ein Cloud-basiertes Repository mit bekannten schädlichen Binärdateien sowie eine Musteranalyse und andere Signale, um Apps zu bewerten. Lookout verfügt über 80 Millionen Binärdateien und App-Telemetrie, mit denen potenzielle schädliche Aktivitäten extrapoliert werden. Und Zimperium verwendet eine Engine für maschinelles Lernen, um ein Profil potenziell schlechten Verhaltens zu erstellen. Als kommerzielles Produkt arbeitet der Scanner von Zimperium zur Analyse und Fehlerbehebung am Gerät selbst, anstatt sich auf die Cloud zu verlassen. Für Google gibt das Unternehmen im Wesentlichen ein schnelles Ja oder Nein, ob Apps einzeln auf Malware untersucht werden müssen.
Tony Anscombe, der Botschafter von ESET für Industriepartnerschaften, sagte: "Wenn wir Teil eines solchen Projekts mit dem Android-Team sind, können wir tatsächlich an der Quelle mit dem Schutz beginnen. Es ist viel besser, als zu versuchen, danach aufzuräumen."
"Wenn Sie sogar eine schrittweise Verbesserung von 1 Prozent erzielen können, ist das wichtig."
Dave Kleidermacher, Google
Das Einrichten dieser Systeme zum Scannen neuer Google Play-Beiträge war konzeptionell nicht schwierig - alles läuft über eine speziell entwickelte Programmierschnittstelle. Die Herausforderung bestand darin, die Scanner anzupassen, um sicherzustellen, dass sie mit dem Feuer der Apps umgehen können, die zur Analyse durchlaufen werden - wahrscheinlich viele tausend pro Tag. ESET ist bereits in Googles Chrome Cleanup-Tool zur Entfernung von Malware integriert und hat eine Partnerschaft mit dem Cybersicherheitsunternehmen Chronicle geschlossen, das sich im Besitz von Alphabet befindet. Alle Mitgliedsunternehmen der App Defense Alliance gaben jedoch an, dass der Prozess zur Schaffung der erforderlichen Infrastruktur umfangreich war und die ersten Keime der Allianz vor mehr als zwei Jahren entstanden sind.
"Google hat die Anbieter eingegrenzt, mit denen das Unternehmen zusammenarbeiten wollte, und alle haben einen ziemlich detaillierten Proof of Concept durchgeführt, um zu prüfen, ob es einen zusätzlichen Nutzen gibt und ob wir gemeinsam mehr schlechte Sachen finden, als jeder von uns in der Lage ist, unabhängig voneinander", sagt der CEO von Lookout Jim Dolce. "Wir haben über einen Zeitraum von einem Monat Daten ausgetauscht - Millionen von Binärdateien. Und die Ergebnisse waren sehr positiv."
Es bleibt abzuwarten, ob die Allianz tatsächlich wesentlich mehr bösartige Apps abfängt, bevor sie auf Google Play landen, als das Unternehmen selbst gemeldet hat. Unabhängige Forscher haben herausgefunden, dass viele Android-Antiviren-Dienste beim Abfangen von Malware nicht besonders effektiv sind. Alle Mitglieder der Allianz betonen, dass eine stärkere Verteidigung von Google Play nur dazu führen wird, dass Malware-Autoren noch kreativer und aggressiver werden, wenn es darum geht, schädliche Apps auf andere Weise zu verbreiten. (Vergessen Sie nicht, dass diese Unternehmen alle über Malware-Scanner verfügen, die sie Ihnen verkaufen möchten.) Aber Googles Kleidermacher betont, dass das Unternehmen zuversichtlich ist, dass die Allianz einen echten Unterschied beim Schutz von Android-Benutzern bewirken wird.
"Wenn Sie in der Größenordnung sind, die wir auf diesen Plattformen haben, und wenn Sie sogar eine schrittweise Verbesserung von 1 Prozent erzielen können, ist das wichtig", sagt er.
Weitere Unternehmen, die Zugriff auf Google Play-Beiträge erhalten, eröffnen auch die Möglichkeit, dass Hacker in der Play Store-Pipeline selbst nach Schwachstellen suchen. Aber Kleidermacher merkt an, dass Google mit all seinen Anbietern strenge Verträge abgeschlossen hat, die nicht nur die Analyselast abdecken, die sie täglich bewältigen, sondern auch die Art und Weise, wie sie Daten sichern und die spezielle API verwenden.
