Virenscanner, das Geschäft mit Angst und fragwürdiger Moral

[BurnerR]

Das ist klar. Ich habe drei Argumente genannt, nicht eines:
1. Nicht jeden Müll an App laden. Was ist eine Müll-App? -> Brain.apk
2. 100% verhindern kann du Kompromittierung nie, aber die Wahrscheinlichkeit deutlicher verringern.
3. Das mit den Taschenlampen-Apps.

 

[sia]

Mal´n anderes Beispiel als das Spiel. Stell Dir vor, dass hätte jemand mit KeePass, was Du ja selbst gerne empfiehlst, im Playstore getan.

APKs sind signiert und es gibt nur ein "wahres" KeePassDroid, einen "wahren" Firefox, einen "wahren" Chrome. Auch hier hilft Brain.(sh|apk|exe|dmg). Früher gab es ein Icon im Play Store für verifizierte Entwickler aber auch darauf hat man sich nicht verlassen können.

Ich kompiliere meine Software oft selbst, reproducible Builds sind bei Debian recht häufig anzutreffen.
Mit genügend Fachkenntnis (und da reichen Grundkenntnisse!) fängt man sich nix ein.

Ich wiederhole mich nur ungern:

USER ≠ ADMIN!

 

[drfuture]

Und nebenbei... 80.000 Downloads, davon ist nicht bekannt bei wievielen das mit dem "root" wirklich funktioniert hat - nur weil die App in der Theorie dazu in der Lage sein soll. Wie Novegrod schon schrieb ist das gar nicht so leicht.

Und es sind ~2,1Milliarden Android Geräte in Gebrauch. das sind dann 0,004% die die Software gedownloadet haben.
Es gibt ca. 3Mio Apps im Play Store und in 1 wurde nun so ein Schadcode gefunden > Die App ist auch danach recht schnell verschwunden.

Wie hoch ist nun die Wahrscheinlichkeit sich wirklich so etwas einzufangen?

Wenn eine App "erfolgreicher" ist greifen auch andere Schutzmechanismen bzw. die App wird öfter geprüft.
Eine App die zwischen 2 Versions-Aktualisierungen 3x gedownloadet wurde - könnte auch nur ein Test der Entwickler sein - dann muss im Hintergrund auch nicht die gesamte App jedes mal komplett Analysiert werden (finde ich).
Im Play Store kommt eine App wesentlich schneller online - dafür wird evtl. nicht jede App in jeder Version bis ins Detail untersucht - umso relevanter ein Scann wird umso eher wird er wohl durchgeführt.
Bei Apple braucht es schon mal Tage bis eine App freigeschaltet wird. Gerade auch bei Updates die Fehler beheben sehr schön.

 

[nik]

@BurnerR: auf die anderen Punkte bin ich nicht eingegangen, da sie dem Beispiel von HoneyBadger nicht entsprechen. Keypass ist eben weder eine Taschenlampenapp, noch irgendein Müll.

@phre4k: Was bringt dir die Signierung, wenn die App vom Hersteller schon kompromittiert wurde?

 

[BurnerR]

@BurnerR: auf die anderen Punkte bin ich nicht eingegangen, da sie dem Beispiel von HoneyBadger nicht entsprechen. Keypass ist eben weder eine Taschenlampenapp, noch irgendein Müll.

Das ist inkorrekt, du bist ausschließlich auf das Taschenlampenapp-Beispiel eingegangen indem du schriebst, dass diese Schad-App eben keine Berechtigungen benötigt hat - im Gegensatz zur Taschenlampen-App.
Und das KeePass nicht irgendein Müll ist, das ist ja gerade das Argument.

 

[HoneyBadger]

nik hat mich richtig verstanden. Mir geht´s halt nicht darum, Crapware aktiv aus dem Weg zu gehen. Das steht außer Diskussion. Ich habe bewusst das Beispiel "KeePass" gewählt, da es eine App ist, der auch hier Vertrauen geschenkt wird, sofern sie aus dem Playstore kommt.
Es könnte auch mal jemand mit Geduld an so eine Sache ran gehen, sprich eine App auf den Markt bringen, die "sicher" und "sinnvoll" ist, warten bis diese sich in entsprechenden Kreisen ausreichend etabliert hat, und dann den im Artikel beschriebenen Weg gehen. Nur eben bei einem Update. Da kann man auch fünf mal brüllen "Brain.apk" und "User ≠ Admin". Außer Polemik hat man damit nichts gewonnen.

 

[BurnerR]

brain.exe verweist ja auf schwer formalisierbare Heuristiken. Wenn und falls sich bei sowas wie KeePass mal was einschleicht, dann hilft auch brain.exe nicht.
Stell dir vor, jemand 'hackt die android update server' und spielt auf allen Geräten nen Virus drauf.. hilft auch kein brain.exe gegen.. etc.
Kann mir diverse hypothetische Szenarien ausdenken... aber die Erfahrung zeigt, dass du mit Brain.exe sehr weit kommst.

Es gibt irgendwie nichts, worauf du hinaus kommst, außer dass dich verweise auf 'Brain.exe' nerven. Wenn mal ein Szenario eintritt, wo das auch nicht geholfen hätte, dann schreit es niemand, aber wenn mal wieder was passiert ist, weil jemand unbedingt tanzende Gnome auf seinem Computer/Smartphone haben musste, dann kann das nunmal passieren.

 

[HoneyBadger]

Ich fasse zusammen: Bei so einem Szenario hat man halt tatsächlich ein Problem. Mit der Antwort kann ich leben.
Mich hatte einfach interessiert, ob man auch bei solchen, wenn auch eher seltenen Fällen, die Chance hat, sich davor zu schützen bzw. es zumindest zu erkennen.

 

[nik]

@HoneyBadger: Wie oben geschrieben, hilft hier nur, dein Android auf einem aktuellen Patchlevel zu halten.
Da für solche "Projekte" normalerweise keine 0-Day-Exploits verschwendet werden, hast du dadurch zumindest noch eine Handhabe.

Deswegen ist es auch so wichtig, auf einen entsprechenden Hersteller zu setzen, was alter_Bekannter oben bereits erwähnt hat.

 

[Novgorod]

Dann kauf halt Geräte wo man den Bootloader unlocken kann

das problem ist garnicht der bootloader, sondern garantie- und funktionsverlust dank (z.b.) knox.. ein runtime-exploit, der einem root verschafft, könnte das umgehen, aber den gibt es nicht und jedesmal, wenn derartiges "durch die presse" geht, ist es zu 100% bloß heiße luft..

 

[BurnerR]

das problem ist garnicht der bootloader, sondern garantie- und funktionsverlust

Nicht nur. Jedenfalls bei mir gibt es eine Hemmschwelle an täglicher Hard/Software herumzubasteln, wo ich ggf Ressourcen/Zeit investieren muss in Dinge, von denen ich eigentlich will, dass sie einfach funktionieren ohne das ich weiter investieren muss. Smartphone zählt für mich ganz klar dazu.

 

[HoneyBadger]

Ich nutze ein Pixel XL ohne Branding. Die Patches ziehe ich immer drauf, sobald sie draußen sind. Gleiches gilt für die Apps. Insofern sehe ich erst einmal nicht mehr, dass ich besser machen könnte.

Selbst als Nutzer mit höherem Interesse an der IT ist es aber nur möglich mit der Flut an Dingen klar zukommen, die einem zum Sicherheitsproblem werden können, wenn man quasi täglich am Ball bleibt und sich überall die entsprechenden Infos zieht und darauf reagiert. Ich bin halt kein Programmierer, kann somit Code nicht selbst überprüfen und bin daher auf´s Urteil von anderen "Experten" mehr oder weniger angewiesen. Schön wäre es, insbesondere für DAUs und nicht nur für mich, wenn´s tatsächlich eine Möglichkeit gäbe, sich so einzuigeln, dass man sich um Sicherheit keine Sorgen machen muss und seine Software trotzdem noch nutzen kann, ohne höhere Kenntnisse zu brauchen bzw. sich von Komfort verabschieden zu müssen.

Die Einschränkung beim Komfort in Bezug auf die Sicherheit ist ja beispielsweise schon beim Surfen gegeben. NoScript sollte quasi immer an sein. Es ist schon müßig, immer alles manuell bestimmen zu müssen, was man jetzt von der Seite geladen haben möchte. EasyList hin oder her. Die deckt ja auch nicht alles ab. Und das ist ja nur eins der vielen Themen, bei denen man wachsam sein muss.

 

[drfuture]

NoScript ist komplett für die Tonne,
zum einen Kann Javascript erst einmal nicht einfach auf die Platte zugreifen zum anderen geht es genau um das "manuell" freischalten - da 99% sich weder den Code der dann freigeschaltet wird durchlesen noch etwas damit anfangen können.

100% Sicher gibt es in der IT per Design nicht - da hätte man vor ~30 Jahren einiges anders machen müssen - dafür ist es nun zu spät. Davon abgesehen kann man den Leuten von damals eher keinen Vorwurf machen da weder die Ausweitung der PC's mit der Architektur in dieser Forum vorhersehbar war - noch irgend jemand die Problematik von Angreifern auf dem Schirm hatte.

Nichts desto Trotz tuen auch alle Hersteller egal ob Apple, Android, Microsoft oder ein Linux-Derivat einiges für die Sicherheit ihrer *Kunden'* Und da zählen die normalen Consumer gerade bei Handys explizit dazu.
Wie ich oben mit meiner Statistik ein wenig versucht habe darzulegen ist die Gefahr meiner Meinung nach weit geringer als so ein Artikel der natürlich möglichst viele Klicks produzieren soll - aussagen möchte.

Das eine Anwendung ernsthafte Verbreitung findet und unbemerkt einige male aktualisiert wird und "heimlich" ein Trojaner eingebaut wird halte ich für eher unrealistisch.
Die Anwendungen am Handy werden ja nicht fertig Compiliert ausgeliefert sondern erst am Gerät in einen Zwischencode compiliert - Beim "optimieren" und Ausführen einer solchen Software sammelt das Handy ebenfalls Laufzeit-Informationen die Reportet werden - zum einen natürlich für den Hersteller damit er Fehler mit bekommt - zum anderen auch um Schadcode ausfindig machen zu können.
Eindeutigen Schadcode kann man aber nicht immer Identifizieren da so manche Anwendung schlicht Möglichkeiten verkettet die eine normale Anwendung für ihre Funktion auch benötigt.

 

[sia]

nik hat mich richtig verstanden. Mir geht´s halt nicht darum, Crapware aktiv aus dem Weg zu gehen. Das steht außer Diskussion. Ich habe bewusst das Beispiel "KeePass" gewählt, da es eine App ist, der auch hier Vertrauen geschenkt wird, sofern sie aus dem Playstore kommt.

Die Crapware kommt auch aus dem Playstore.

Der Crapware wird auch Vertrauen geschenkt.

Genau wie TPMs, Bootloadern, dem Windows-/Android-/Linux-/macOS-/iOS-Kernel, der genauso versaut sein kann. Das Einzige, was da hilft, sind reproducible Builds von Open Source Software.

Ein Virenscanner hilft hier allerdings nicht, und genau das ist Thema des Threads. Virenscanner kennen Vertrauen nicht.


Vielleicht treffen wir uns in 5-10 Jahren noch mal, wenn neuronale Netze in Virenscannern Einzug gehalten haben und brain.exe ersetzen.

 

[Novgorod]

Jedenfalls bei mir gibt es eine Hemmschwelle an täglicher Hard/Software herumzubasteln

das sollte dann doch auf den PC noch viel eher zutreffen als aufs handy, denn ohne zeitintensives "basteln" ist er heutzutage doch ziemlich unbenutzbar..

NoScript ist komplett für die Tonne,
zum einen Kann Javascript erst einmal nicht einfach auf die Platte zugreifen zum anderen geht es genau um das "manuell" freischalten - da 99% sich weder den Code der dann freigeschaltet wird durchlesen noch etwas damit anfangen können.

das ist doch auch garnicht der zweck von noscript .. der zweck ist einzig und allein eine bessere kontrolle über JS mittels einer domain-basierten whitelist.. insbesondere ist noscript kein "scanner" nach "schadcode" und wurde auch nie als solcher beworben.. die sicherheit basiert hier wie so oft auf vertrauen, z.b. dass die haupt-doman keinen schadcode ausliefert.. eingebundene tracking- und werbeschleudern von drittanbietern (XSS), die eher für "fragwürdigen" JS-code anfällig und bekannt sind, werden geblockt und somit die angriffsfläche deutlich reduziert.. dass JS idealerweise keinen zugriff auf die platte hat, ist kein schutz vor browser-exploits oder vor phishing.. sicherheit vor "viren" ist auch nur ein (kleiner) teilaspekt von noscript - es geht in erster linie um den schutz der privatsphäre und als kleiner nebeneffekt auch um das umgehen von user-gängelung..

 

[sia]

uMatrix > uBlock > NoScript. Letzteres sollte man nicht mehr einsetzen, ist einfach nicht mehr zeitgemäß.

 

[HoneyBadger]

@phre4k: uMatrix statt NoScript?
Warum ist NoScript nicht mehr zeitgemäß?

 

[Novgorod]

ublock und noscript haben sehr wenig überschneidung in der funktionalität (kann ublock überhaupt skripte blocken oder nur angezeigte elemente?).. umatrix sieht allerdings tatsächlich wie eine kombination aus beiden aus mit durchaus sinnvollen extra-features - werde ich mir mal bei gelegenheit genauer anschauen..

 

[HoneyBadger]

Hab jetzt mal uMatrix installiert und NoScript deaktiviert. Im ersten Moment ist´s noch gewöhnungsbedürftig. Aber das muss ja nichts schlechtes sein.

 

[BurnerR]

das sollte dann doch auf den PC noch viel eher zutreffen als aufs handy, denn ohne zeitintensives "basteln" ist er heutzutage doch ziemlich unbenutzbar..

Verstehe ich nicht, was genau meinst du?
Habe Debian, Ubuntu und vereinzelt Windows 10 Pro im Einsatz. Die Ersteinrichtung bzw. Installation von Programmen kann mal was dauern, aber das macht man ja vllt einmal alle 5 Jahre und ist ja weitgehend unkritisch. Mein (einziges) Telefon zu rooten halte ich da schon für deutlich problematischer.
Wir sehen ja, dass selbst bei durch die Hard- und Softwarehersteller vorgesehene Nutzung Probleme immer mal auftreten, daher weiche ich nicht gerne ohne Grund davon ab, da holt man sich erfahrungsgemäß noch eher Probleme mit ins Haus... wenn man darauf Bock hat und Zeit, gut, für mich steht wartungsarm aber weit oben auf meiner Prioritätenliste.