Außerdem gilt Android als vergleichsweise unsicher. So erstellt etwa das Hasso-Plattner-Institut (HPI) der Universität Potsdam alljährlich eine Rangliste, die gängige Betriebssysteme nach der Anzahl der bekannten Sicherheitslücken sortiert. Android weist hier seit Jahren die meisten Lücken auf, 2016 mit 507 und für das laufende Jahr bereits mit 463 bekannten Schwachstellen. Gefolgt wird Android von Apples iOS mit 436 bekannten Sicherheitslücken im vergangenen und 268 im laufenden Jahr. Das liege aber zum Teil auch an der starken Verbreitung beider Betriebssysteme, sagt HPI-Mitarbeiterin Christiane Rosenbach. Diese mache sie zu besonders attraktiven Angriffszielen für Kriminelle. „Gleichzeitig suchen Experten intensiver nach Lücken“, so Rosenbach.

Oliver Schranz, Android-Experte am saarländischen Center for IT-Security, Privacy and Accountability (Cispa), teilt diese Ansicht. „Im Grunde haben alle Hersteller ähnliche Sicherheitsmechanismen”, sagt der IT-Fachmann. Android sei aber als sogenannte Open-Source-Software in einer besonderen Situation. Bei Open-Source-Programmen ist der Quellcode, also die Sprache, in der die Software programmiert ist, für jedermann offen einsehbar. Das biete im Fall von Android Vor- und Nachteile, sagt Schranz. Durch den offenen Quellcode sei es für Cyber-Kriminelle zwar grundsätzlich leichter, Schwachstellen aufzuspüren, Gleiches gelte aber auch für Sicherheitsexperten, die eben diese Lücken schließen wollen. „Bei Apple ist das für beide Seiten schwieriger“, sagt Schranz. Schadsoftware gebe es aber durchaus auch in Apps für iOS.

Apps nur direkt vom Hersteller, also entweder über Googles Play-Store oder Apples App-Store, zu beziehen, ist zwar ratsam, bietet aber keine absolute Sicherheit. So gab es in der Vergangenheit immer wieder Fälle, bei denen Schadprogramme unbemerkt über Apps direkt aus den Stores verbreitet wurden. Schranz nennt beispielhaft das Spionageprogramm Pegasus, das im August 2016 im App-Store entdeckt wurde. Mit seiner Hilfe konnten Cyber-Kriminelle Textnachrichten und Anrufe verfolgen, Passwörter abfangen und die Position infizierter iPhones bestimmen. Ähnliche Fähigkeiten besitzt das Schadprogramm Lippizan, das laut Lily Hay Newman vom US-amerikanischen Fachmagazin Wired im Juli dieses Jahres über den Play-Store verbreitet wurde. Es sei so aufwendig programmiert, dass es mit hoher Wahrscheinlichkeit aus einer staatlichen Quelle oder von hochprofessionellen Hackern stamme, so Newman. Über den wahren Ursprung und den genauen Zweck des Schädlings könne aber allenfalls gemutmaßt werden.

Aufsehen erregte vor wenigen Wochen auch die Entdeckung mehrerer Sicherheitsfirmen, die ein Schadprogramm namens WireX identifizierten, dass laut Steve Ragan, IT-Experte beim Technologieunternehmen International Data Group, rund 70 000 Android-Smartphones in über 100 Ländern befallen hatte. Verbreitet wurde es über mehr als 300 verschiedene Apps im Play-Store. Das Programm machte infizierte Geräte zum Teil eines sogenannten Botnetzes, das daraufhin gezielt und unbemerkt für Attacken auf Dienste im Internet genutzt wurde. Bei solchen Angriffen senden die infizierten Geräte wiederholt Anfragen an die Computer der betroffenen Unternehmen, um sie zu überlasten. Das Verfahren wird auch als Distributed-Denial-of-Service(DDoS)-Attacke bezeichnet. Computer lahm legen können sie nur durch die schiere Menge gleichzeitiger Anfragen, im Fall von WireX waren es laut Steve Ragan mehr als 20 000 pro Sekunde.

Die Tatsache, dass die Anfragen für sich genommen legitim sind, sei auch einer der Gründe, warum die Programme von Herstellerseite so schwer zu erkennen sind, sagt Oliver Schranz. Sowohl Google als auch Apple testen neue Apps laut dem Cispa-Experten hauptsächlich auf zwei verschiedene Arten. Bei der meistens zum Einsatz kommenden „statischen“ Überprüfung werden die Codes der Apps mit Teilen von gängigen Schadprogrammen abgeglichen. Mit dieser Methode kann daher nur bereits bekannte Schadsoftware aufgespürt werden. Bei der „dynamischen“ Analyse werden Apps hingegen direkt darauf geprüft, ob sie im Betrieb potenziell schädliche Aktionen ausführen. Beide Verfahren laufen laut Oliver Schranz maschinell ab. Eine Kontrolle durch Menschen sei vor allem bei Android aufgrund der schieren Masse an neuen Apps kaum realisierbar und werde daher höchstens stichprobenartig durchgeführt. In Apples App-Store würden insgesamt weniger Apps angeboten, was die Überwachung durch Menschen erleichtere, so die Vermutung des Cispa-Experten.

WireX sei bei der statischen Überprüfung nicht aufgespürt worden, weil die Entwickler den Schadcode geschickt verschleierten. Die dynamische Überprüfung hebelte WireX ebenfalls aus. Der Schädling habe sich in einer Art Schlafzustand befunden, sagt Oliver Schranz. In diesem habe er keine messbaren Auffälligkeiten gezeigt. Erst nachdem er Zehntausende Geräte infiziert hatte, sei er aktiv und damit nachweisbar geworden. Mittlerweile hat Google die infizierten Apps sowohl aus dem Play-Store, als auch von betroffenen Geräten entfernt.

Fragwürdige Apps im Vorfeld zu erkennen, sei für Nutzer kaum möglich, da die Kriminellen oftmals bestehende Apps kopierten und unter einem ähnlichen Namen im Store veröffentlichten, sagt Oliver Schranz. Höchstens ein Blick in die Empfehlungen anderer Nutzer könne hier weiterhelfen. „Das sagt zwar oft wenig über die Qualität einer App aus, aber wenn es gravierende Probleme gibt, wird das schon meistens erwähnt“, sagt der Android-Experte. Den „Top-Entwickler“-Hinweis, der früher im Play-Store auf seriöse Hersteller hinweisen sollte, verwendet Google seit Mai dieses Jahres nicht mehr. Einige ausgewählte Apps werden allerdings mit dem Vermerk „Empfehlungen der Redaktion“ versehen. Sie können als sicher gelten.

Auch für die Verwendung von speziellen Virenscanner-Apps ist das Fazit des Cispa-Experten ernüchternd. „Bei modernen Android-Geräten haben Apps nicht mehr die Berechtigung, das Verhalten anderer Apps zu überwachen“, sagt Schranz. Das betreffe auch die Virenscanner, die daher höchstens statische Überprüfungen durchführen könnten. Betriebssystem und Apps auf dem neuesten Stand zu halten, ist dem Experten zufolge hingegen sinnvoll. „Ein aktualisiertes Gerät ist der beste Schutz“, so Schranz. Das sei allerdings je nach Hersteller oft problematisch, da – anders als bei Apple – viele Smartphone-Hersteller eigene Versionen von Android entwickelten und diese oftmals nicht oder nur zögerlich aktualisierten. „Da gibt es nicht viel, das man tun kann, Nutzer sind dem Hersteller ausgeliefert“, so die Einschätzung von Schranz. Ähnliches gelte für Nutzer von Smartphones mit älteren Versionen von Android, die von Google nicht mehr mit Updates versorgt werden.

Sollte eine infizierte App auf das Handy gelangt sein, empfiehlt Oliver Schranz, diese sofort zu löschen. Das sei allerdings keine Garantie, da sich viele Schadprogramme in anderen Bereichen des Speichers verstecken könnten. Wer auf Nummer sicher gehen wolle, müsse die Geräte daher in den Werkszustand zurückversetzen, dann seien allerdings auch alle gespeicherten Daten weg. „Ansonsten hilft nur der Gang zu einem Experten“, sagt Oliver Schranz.