Webseiten Labor

Der Blog für Webmaster und Webworker

Sicherheitsstandards der Appstores von Apple und Google

Phone securityIm Hinblick auf immer öfter auftauchende Sicherheitslücken (siehe u.a. „Heartbleed“ oder aktuell „Shellshock“) in unterschiedlichsten Systemen wollte ich mir als App-Entwickler mal ansehen wie sicher eigentlich die Appstores der beiden Marktführer Apple und Google sind. Der Artikel soll auch Smartphone User für das Thema Sicherheit sensibilisieren.

Apple Store vs Play Store

Der ewige Kampf der beiden Systementwickler. Für manche ist es schon eine Art Glaubensfrage sich für einen der beiden zu entscheiden. Ganz nüchtern betrachtet ist wohl kein klarer Gewinner zu erkennen. Während Google ganz klar die Nase bei der Aktualität und der Menge vorne hat, überzeugt Apple durch sichere und qualitative Apps. Für Entwickler von Webseiten und Apps heißt dies in der Regel sich für jedes System eine individuelle Lösung zu überlegen. Im folgenden werde ich mich einmal genauer mit den Bestimmungen für Apps in den beiden App-Stores beschäftigen und sowohl die Nutzer- als auch die Entwickler-Seite ein wenig beleuchten.

Zunächst ein paar Daten zu den beiden Stores:

Der Apple-Store

  • Start im Juli 2008 mit 500 Apps
  • Innerhalb der EU nunmehr 629.000 Arbeitsplätze durch die Plattform
  • Eine Million zusätzlicher Arbeitsplätze durch die Apps
  • Mit Stand Juni 2014 stehen 1.2 Mio Apps zur Verfügung

Der Play Store

  • Start im August 2008 als Android Market
  • Seit April 2009 in Deutschland Unterstützung der Bezahlfunktion für kostenpflichtige Apps
  • 2012 die Umbenennung des Android Market in Google Play Store
  • Mit Stand September 2014 sind über 1.3 Apps verfügbar

Ein fast perfektes System

Wird mit Blick auf die ENISA-Empfehlung auf den Apple Store geschaut, so hat dieser alle Vorgaben erfüllt. Dies gilt für die App-Reviews, die Reputation sowie die Registrierung und die Anmeldesicherheit für Entwickler. Die Umsetzung dieser Vorgaben ist schon ein guter Weg. Schließlich erfolgt auch eine Überprüfung der Identität in der Form, dass eine Apple ID zur Anmeldung im Store erforderlich ist. Dies sollte es in der Regel erschweren, dass manipulierte Apps eingeschleust werden. Schließlich ist derjenige ja registriert, so dass gewisse Daten im Appstore verfügbar sind.

Letztendlich gibt es zwar keine hundertprozentige Sicherheit über die Identität der Entwickler, werden jedoch Trojaner oder eine ähnliche Malware in einem Programm gefunden, lassen sich über verschiedene Wege Rückschlüsse auf die Person finden. Dies bedeutet für ehrliche Entwickler nicht mehr, als dass man seine persönlichen Daten bei der Einstellung einer App angeben muss und lässt Hacker zweimal überlegen ob Sie Ihren Virus/Malware wirklich in den Store stellen.

Bei iOS kann man zudem neue Apps ausschließlich über iTunes und den offiziellen Apple Store beziehen – das mag natürlich auch ein Nachteil sein, aber aus der Security-Sicht ist das ein Vorteil. Auch daher spielen Malware, Viren und Trojaner bei iOS zur Zeit fast keine Rolle und ein extra Schutz am iPhone oder iPad ist aus meiner Sicht nicht nötig.

Sicher, aber nur fast…

Bei Android sieht es etwas anders aus. Android erlaubt als offenes System jegliche App zu installieren, egal wo diese herkommt (aus einem Store, Download von Webseite, lokal vom PC). So groß der Vorteil ist (den ich nie mehr missen möchte), so sehr ist dies ein Problem für die Sicherheit. Mitte 2013 wurden lt. Aussage eines Experten von Kaspersky bereits 100.000 Schädlinge für Android entdeckt und 99,9% aller neuen schädlichen Dateien konzentrieren sich zudem auf die Android Plattform (dazu der Artikel bei welt.de). Fairerweise muss ich dazu sagen, dass die meisten Schädlinge wohl nicht über den Google PlayStore zum Nutzer gelangen, sondern über andere Stores oder App-Download Quellen.  Aber zunächst zum Google Playstore, der doch die Anlaufstelle Nr. 1 für die meisten Nutzer ist…

Rund um die Apps erfüllt der Google PlayStore ebenso alle Vorgaben der ENISA. Dies gilt für die Reviews ebenso wie für die Reputation. Auch hinsichtlich der Registrierung und der Anmeldesicherheit wurden alle Empfehlungen berücksichtigt. Damit werden die Risiken für manipulierte Apps oder gar das Einschleusen von Trojanern deutlich erschwert. Vorteilhaft ist die Anmeldung auch aus der Hinsicht, dass es nicht mehr so einfach ist, falsche Bewertungen abzugeben. Schließlich wird auf die bei Google hinterlegten Daten zurückgegriffen. Dadurch ist es nicht mehr so einfach, ein Konto zu übernehmen.

Trotzdem ist dieses System längst nicht komplett, weshalb Google plant Ende September hier eine große Daten-Offensive zu starten. (dazu der Artikel auf chip.de). Allerdings erschwert der große Marktanteil von Android eine einheitliche Linie für alle Anbieter (HTC, Samsung, LG, Sony, Motorola uvm.) zu finden. Oft sind bei verschiedenen Herstellern verschiedene Versionen des Android Systems vorhanden, weshalb Updates nicht richtig durchgeführt werden. Nutzer mit einer Version vor 4.4 (kitkat) sollten zudem von der Nutzung vom Standard-Browser absehen, da dieser einige Schlupflöcher für Trojaner bietet.

Einfache Tipps zum Schutz

Hier ein paar simple Tipps, die zu mehr Schutz für normale Android-Nutzer führen:

  • Statt dem Android-Browser einen alternativen Browser wie Chrome verwenden (Chrome ist auch schneller)
  • Regelmäßig Google zum Thema „Android Sicherheitslücke“ befragen
  • Extra-Tipp dazu: Erstellung eines Google Alerts zum Thema Sicherheitslücke
  • Antivirus-App für Android installieren (Vergleich von Schutz-Apps)
  • Auch regelmäßig den Scan durchführen, besonders wenn viele Apps genutzt werden
  • Apps nur aus vertrauenswürdigen Quellen beziehen und installieren
  • Darauf achten was installiert wird und welche Rechte diese Apps haben wollen
  • Automatische Updates aktivieren, so werden Sicherheitslücken in Apps am schnellsten geschlossen
  • Bei den zu bestätigenden Updates darauf achten welche Rechte sich geändert haben

Fazit

Die Anzahl der Schädlinge und ebenso die Zahl der Antivirus-Apps für Android zeigen, dass das Thema durchaus mehr Beachtung verdient. Google hat dabei noch einigen Handlungsbedarf um sein System zu perfektionieren. Apple hingegen verzichtet durch seine intensive Prüfung auf schnelle Weiterentwicklung seiner Apps, hinkt aber dadurch des öfteren dem neuesten Stand hinterher. Beiden folgen allerdings den Empfehlungen der ENISA und wer ein wenig aufpasst sollte bei beiden keinerlei Probleme durch Schädlinge bekommen.