Experten: Android und iPhone gleich sicher (oder unsicher)

Verschiedene Modelle, vergleichbares Ergebnis

Sicherheitsforscher und solche, die sich dafür halten, machen sich gerne wichtig mit Enthüllungen. Regelmäßig geben sie Alarmmeldungen aus, oft verbunden mit angepriesener Software und Dienstleistungen für mehr Sicherheit. Auch der sichtbare Erfolg der Android-Plattform lockt sie an, ihre Aussagen führen in vergröberter medialer Wiedergabe zu Ãœberschriften wie „Lässt Google den Android Market verkommen?“ (Shortnews.de) oder „Hacker wirft Google Miss-Management im Android-Market vor“ (PC-Welt). Das verbindet sich gerne mit dem gängigen Klischee vom geschlossenen, durch Steve Jobs persönlich überwachten App Store für das iPhone, der mehr Sicherheit garantiere.

Elinor Mills von Cnet wollte es genauer wissen und fragte bei Experten herum, wie es um die Sicherheit von Android und iOS bestellt ist. Was bringt das wenig transparente Genehmigungsverfahren von Apple in Sachen Sicherheit, was die offenere Herangehensweise beim Android Market?

Der grundlegende Unterschied ist zunächst die Genehmigung durch Apple, während Google keine vorherige Ãœberprüfung vornimmt, sondern sich auf eine wachsame Community im Android Market verlässt. Die von Apple durchgelassenen Apps verfügen dann aber stets über identische Zugriffsmöglichkeiten auf Daten und Ressourcen – nur bei ortsbezogenen Daten müssen sie nachfragen. Android-Apps hingegen bekommen allgemein weniger Rechte und müssen vor allem gegenüber dem Benutzer offen legen, auf welche Systemfunktionen sie zugreifen wollen und es sich ausdrücklich genehmigen lassen.

Daraus ergibt sich, dass Apple bösartige Anwendungen leichter fernhalten kann. Kommt jedoch eine Anwendung durch, hat sie weitgehendere Möglichkeiten, sich als Malware oder Spyware zu betätigen. Mit seiner Anwendung SpyPhone führte der Schweizer Sicherheitsforscher Nicolas Seriot vor, was eine bösartige Anwendung dabei alles an Daten einsammeln kann.

„Beide Seiten haben Vorteile und Nachteile“, lautet das Fazit von Kevin Mahaffey, Gründer von Lookout, einem Sicherheitsunternehmen für Mobiltelefone.

Analyst Charlie Miller von Independent Security Evaluators bezweifelt Apples Fähigkeit, bei der großen Zahl eingereichter Apps eine gründliche Ãœberprüfung vorzunehmen. Er kennt sich aus, denn ihm gelang 2007 der erste Hack des iPhones über eine Sicherheitslücke im mobilen Browser Safari – und er entdeckte auch Sicherheitsprobleme im Browser von Android. Android wiederum setzt Anwender voraus, die selbst auf Sicherheit achten, wie Miller erklärt:

„Der Nachteil des Android-Modells besteht darin, dass es die Last der Sicherheit dem Endbenutzer auferlegt. Wenn ich ein Spiel herunterlade und es mir sagt, dass es auf GPS und das Internet zugreifen möchte, dann ist das verdächtig und ich kann es ablehnen. Andererseits möchte ich nicht, dass meine Schwester oder Großmutter solche Sicherheitsentscheidungen trifft. Wenn die Leute einfach auf ‚Ja‘ klicken, dann nützt das alles nicht viel.“

Mahaffey sieht es positiver: „Es sind Risiken verbunden mit einem offenen App-Modell, aber es bringt viel Nutzen für die Benutzer und die Risiken für einen Nutzer hängen mehr von ihm selbst ab als von der Plattform. Die Benutzer wissen, was sie mit dem Android-Modell bekommen.“

Sicherheitsforscher Jon Oberheide von Scio Security schmuggelte zur Demonstration zwei Anwendungen mit falschen Angaben in den Android Market. Google demonstrierte an ihnen erstmals die mögliche Fernlöschung bereits installierter Anwendungen auf Android-Smartphones, offenbar um zeigen, dass es diese wirksame letzte Verteidigungslinie gegen Malware gibt. Selbst Oberheide zieht jedoch das offene Android-Modell einem geschlossenen App-Store wie dem von Apples iPhone vor: „Wir wissen, dass es bösartige Apps geben kann, deshalb wird das Sicherheitsmodell auch unter dieser Voraussetzung angewandt.“

Alarmmeldungen über Smartphone-Sicherheit sind ohnehin verfrüht, beruhigt Mikko Hypponen von F-Secure. Zwar gab es auf allen Plattformen Exploits zur Ausnutzung von Sicherheitslücken, aber nichts davon kam zum Einsatz. Ganz ähnlich sieht es iPhone-Hacker Miller und erklärt die Sicherheitsbedenken zu diesem Zeitpunkt als überwiegend theoretisch. Die Wahrscheinlichkeit, von Malware betroffen zu sein, sei wesentlich geringer, als das Smartphone zu verlieren.