Diskussion zu Google Playstore Apk Sicherheitsanalyse

[nik]

@Sunny Vielen Dank für deine Arbeit.

Noch als Ergänzung hierzu: Die Tests werden von High-Tech Bridge, einem Schweizer Penetration Testing Anbieter angeboten, der 2007 gegründet wurde.
Auch wenn der Anbieter als vertrauenswürdig zu erachten ist, sollte man trotzdem die Ergebnisse entsprechend bewerten.
So bedeutet eine hohe Phishing-Anfälligkeit z.B, dass es viele Domains mit einem ähnlich aussehenden Namen gibt. Das wirkt sich nicht auf die Sicherheit der App selbst aus.

Virenwarnung!! Muss näher untersucht werden

Bei der Meldung handelt es sich um PUP.HighConfidence. PUP steht für "potentially unwanted program", ist so also erst mal keine Schadsoftware. Die Meldung kann auch dadurch ausgelöst werden, wenn der Entwickler ein bestimmtes Programm für die Entwicklung seiner App nutzt. Da die Meldung nur von einem eher unbekannten Antivirenanbieter kommt, handelt es sich hier sehr wahrscheinlich um einen falsepositive-Fund.
Siehe: Google Groups

 

[Sunny]

... einen falsepositive-Fund.

Bei 2 Meldungen um genau zu sein.
Bei Line Puzzle zb handelt es sich immerhin um einen Trojaner der entdeckt wurde

So bedeutet eine hohe Phishing-Anfälligkeit z.B, dass es viele Domains mit einem ähnlich aussehenden Namen gibt. Das wirkt sich nicht auf die Sicherheit der App selbst aus.

Nun das ist nicht ganz richtig, diese Pishing Anfälligkeit wurde auf die Remote Hosts der jeweiligen Anwendungen geprüft.

Das heißt nichts andres, als das die Anwendung falls entsprechend manipuliert oder mit den entsprechenden "vor eingebauten" Sicherheitslücken (fehlender Tapjacking Schutz um nur einen zu nennen) ohne das wir es bemerken mit diesen "bösen" Hosts kommunizieren kann, Schadcodes empfangen kann und eben Tapjacking z.b in Verbindung mit anderen Sicherheitslücken ein leichtes ist.

Siehe hier z.b Opera Mini:

nur von einem eher unbekannten Antivirenanbieter

Nimmt man einen bekannten Viren Scanner heißt es gleich man arbeitet für die AntiViren Lobby....nimmt man einen nicht so bekannten, heißt es....

....handelt es sich hier sehr wahrscheinlich um einen falsepositive-Fund.

Der Test kann aber gerne von euch mit jedem anderen AntiVirus wiederholt werden, nur bitte teilt uns das Ergebnis dann auch hier mit.

Dieser Thread hier soll nicht dazu dienen, daß Playstore Apps schlecht gemacht werden, im Gegenteil, er soll mit euch zusammen helfen, daß die Entwickler eben solcher Apps künftig sorgfältiger arbeiten.
Die meisten der oben genannten "Bedrohungen" bzw Gefahren ließen sich mit ein paar Zeilen Code der Dev´s beheben.

LG
Sunny

 

[nik]

Bei 2 Meldungen um genau zu sein.

Hab mich auf das Ergebnis von AdAway bezogen, da war ich unpräzise, stimmt.

Nimmt man einen bekannten Viren Scanner heißt es gleich man arbeitet für die AntiViren Lobby

Mag sein, dass du da in der Vergangenheit in Diskussionen schlechte Erfahrungen gemacht hast, so war das von mir allerdings nicht gemeint. Ich wollte hier keine politische Diskussion lostreten, welche Malwarescanner nun besser sind.
Mir ging es um folgendes: Wenn bei VirusTotal nur einer von x Malwarescannern etwas findet und dabei dann nur ein Ergebnis wie PUP.HighConfidence rauskommt, kann man das durchaus davon ausgehen, dass es sich hier nicht um Malware handelt.
Deswegen ja auch meine Erläuterung zum Fund.

Nun das ist nicht ganz richtig, diese Pishing Anfälligkeit wurde auf die Remote Hosts der jeweiligen Anwendungen geprüft.

Das Ergebnis interpretiere ich anders.
Du hast unter der Aussage die Auflistung der Domains, mit der sich die App verbindet. Und dahinter wird dann zu den einzelnen Domains aufgelistet, wie viele Phishing-Domains zu dem jeweiligen Eintrag gefunden wurden. Wenn du in der Liste auf eine Domain klickst, wird dir in der Folgeübersicht die Phishing-Domains aufgelistet:

Meiner Meinung nach hat das nichts mehr mit dem App-Test zu tun, sondern ist nur eine zusätzliche Information zu der jeweiligen Domain.

 

[Sunny]

Meiner Meinung nach hat das nichts mehr mit dem App-Test zu tun

Ich empfehle dir dich an geeigneter Stelle noch einmal zu informieren.
Das habe ich bevor ich das hier angefangen habe auch getan und war überrascht was da so alles zu Tage kommt

 

[nik]

Wenn man auf den beschriebenen Link klickt kommt man beim "Trademark Test" raus, den man auch nur für eine Domain direkt durchführen kann, ganz ohne Test der App. Am Beispiel www.youtube.com: www.youtube.com Trademark Abuse
Dementsprechend erschließt sich mir nicht, wie du darauf kommst, dass das noch etwas mit dem Test der App zu tun haben soll.

 

[Sunny]

Also noch einmal, wie eben schon per PN mit @nik klärend besprochen, wir haben da etwas aneinander vorbei geredet, sorry...da hätte ich schneller schalten sollen
Mit "Bei YouTube ist eine hohe Pishing Anfälligkeit zu beobachten" wollte ich nicht sagen das die apk selber ein hohes Pishing Risiko ist, es sollte heißen, ein Problem des Dienstes im Allgemeinen, in dem Fall eben YouTube dass er so berühmt ist und er sich als lohnendes Phishing-Ziel anbietet.
Das belegen die Zahlen in diesem Test. Bei einem alten Betriebssystem, altem sicherheits Patch und ohne Schutz, plus dann noch gravierende sicherheits Lücken in der jeweiligen (hier Youtube) App kann das so schnell zum Problem werden.
Man sollte sogar einzeln darauf hinweisen wie hoch die Pishing Gefahr der einzelnen Dienste, YouTube, Facebook usw ist, so das die Leute eventuell zu mehr Aufmerksamkeit bewegt werden, bei dem was sie oft unbedacht auch innerhalb der YouTube App oder auch einer anderen anklicken und ruck zuck ohne das sie es merken auf einem gefälschtem Channel oder Verkaufs Webseite usw landen. Um nix anderes geht es mir eigentlich.