Android Safety Net: Google Play Store beschermt (deel 2)

Dit artikel is onderdeel van een tweedelige serie over de verzameling van beveiligingstools die Google het ‘Android Safety Net’ noemt. Deel één vind je hier. 

Google Play services

De Google Play Store kan, indien dat door de gebruiker gewenst is, applicaties dus scannen op bekende problemen en verdachte zaken, zelfs wanneer deze niet uit de Play Store afkomstig zijn. Het daadwerkelijke scannen wordt gedaan door Google Play services, een pakket met Google-diensten. Dit pakket kan door ontwikkelaars gebruikt worden om nieuwe functies toe te voegen aan hun apps, zonder dat toestellen daarvoor geüpdatet hoeven te worden naar een nieuwe Androidversie. Google Play services wordt automatisch geïnstalleerd op toestellen met Android 2.2 en hoger die beschikken over de Google Play Store.

Android 2.2 kwam in mei 2010 uit. Aangezien dat bijna vier jaar geleden is, kun je je voorstellen dat er niet heel veel toestellen meer die op een lagere versie draaien. Google berekent elke maand de verdeling van verschillende Androidversies die op een bepaald moment gebruikt worden. Door een verandering in de manier van tellen, laat Google niet meer zien welk percentage van de Androidgebruikers op versies lager dan Android 2.2 draait. In augustus 2013 was het percentage van actieve toestellen (alle toestellen die minimaal één keer in de twee weken verbinding maken met de Google Play Store) minder dan 1%. Meer dan 99% van de actieve Androidtoestellen, toestellen die in ieder geval periodiek beschikken over een internetverbinding, is dus beschermd door de Google-dienst. 

Daarbij worden overigens de toestellen die géén Play Store hebben niet meegerekend. Dat zijn bijvoorbeeld de Kindle-tablets van Amazon en veel tablets/smartphones die afkomstig zijn uit China. Voornamelijk die laatste categorie is erg kwetsbaar: Amazon heeft een eigen applicatie-winkel met applicaties die (onder meer handmatig) gecontroleerd worden, maar veel van de Play Store-loze Aziatische toestellen hebben een applicatiewinkel waarin apps helemaal niet aan controle onderworpen worden. 

Misbruik

Door heel veel applicaties te analyseren heeft Google heel veel data verzameld. Die data biedt Google nieuwe inzichten op het gebied van beveiliging, maar zorgt ook voor interessante plaatjes. In de tabel hieronder zie je hoeveel misbruik gemaakt wordt van bepaalde specifieke dreigingen. Bij bijvoorbeeld de Masterkey-bug die we eergisteren bespraken kwamen we de kop ‘99% van Androidapparaten kwetsbaar’ veelvuldig tegen, ondanks dat Google al de nodige maatregelen had genomen waardoor slechts 2% van de apparaten echt kwetsbaar was. Google laat zien dat ze 1231 unieke installatiebestanden gevonden hebben die misbruik maken van dit lek. Slechts minder dan 1 op de miljoen installaties bevatte malware van dit type. Hetzelfde geldt eigenlijk ook voor de andere grote dreigingen: vaak is de kop veel spannender dan de dreiging uiteindelijk blijkt te zijn.  

Omdat Google niet alle installaties daadwerkelijk kan bekijken, óf omdat gebruikers de controle van Google niet gebruiken of uitschakelen, óf omdat er helemaal geen Play Store geïnstalleerd staat op een Androidtoestel, is een gedeelte van de data wel op basis van schattingen. 

Waarschuwing

Applicaties uit de Play Store zijn allemaal al gescand door Google, waardoor je een kleine kans loopt op malwarebesmetting wanneer hier apps vandaan haalt. Op apps van buiten de Play Store heeft Google geen invloed, maar deze apps kun je wel door Google laten scannen. Wanneer het blijkt dat er zich mogelijk schadelijke software bevindt in een installatiebestand, zal Google een waarschuwing geven. Op de afbeelding hieronder zie je dat heel veel installaties van apps van buiten de Play Store worden gedaan. Het oranje lijntje geeft aan hoeveel installaties er zijn en het gele lijntje geeft aan hoeveel malware gedetecteerd wordt. 

Er wordt dus niet veel malware gedetecteerd. Betekent dat dan ook dat er maar weinig malware is, of is Google gewoon slecht in het herkennen van malware? We kunnen er wel vanuit gaan dat Google niet direct alle malware zal detecteren, maar apps die zich verdacht gedragen zullen op termijn vrijwel zeker worden herkend als malware. Deze apps, in welke vorm dan ook zullen in de toekomst bij installatie dan wel als malware worden herkend. Herkende schadelijke apps die op dat moment geïnstalleerd zijn, kunnen (en zullen!) door Google op afstand van telefoons en tablets verwijderd worden. Een belangrijk fenomeen in de virus- en malwarewereld is die van veranderende malware. Malware vermomt zichzelf, waardoor een simpele vergelijking van de ‘digitale vingerafdruk’ van een app niet voldoende is. Google geeft aan goed te zijn in het detecteren van deze zogenaamde polymorphic apps. 

Maar, als Google waarschuwt dat een applicatie mogelijk malware bevat, wat doet de gebruiker dan? Niet iedereen neemt de waarschuwing in acht, zo blijkt op de onderstaande grafiek. Daarin zie je het aantal installaties dat toch wordt voortgezet na een waarschuwing. Op de één miljoen installaties wordt minder dan 3000 keer doorgezet wanneer er een waarschuwing wordt gegeven. Google noemt dit aantal ‘stabiel en laag’. 

Waarom toch installeren?

De vraag is natuurlijk: waarom zou je software toch installeren wanneer deze ‘mogelijk malware’ bevat? Uiteraard zullen er mensen zijn die niet geloven dat er dreiging van een app uitgaat, maar er zijn ook mensen die bewust een dergelijke app installeren. In de grafiek hieronder zie je waarom: een groot gedeelte van de apps die gebruik maken van beveiligingsfouten of die malware zouden bevatten heeft geen kwaadaardige bedoelingen.

Van de geïnstalleerde apps die onder andere gebruik maken van beveiligingsfouten bestaat een groot gedeelte uit root-apps. Net als bij de Masterkey-bug worden bekende beveiligingsproblemen gebruikt om root-toegang te verkrijgen op Androidtoestellen. Degene die deze app installeert, kiest er dan heel bewust voor om de app te installeren, zelfs wanneer Google een waarschuwing geeft.

Ook zijn er relatief veel apps waarvan niet bekend is of ze malware bevatten, maar dat deze wel afkomstig zijn uit een bron die zeer veel malware aanbiedt. Verder zien we dat het overgrote gedeelte misbruik maakt van sms-berichten. Er worden dan door de apps berichten gestuurd naar premium-diensten, waardoor de gebruiker op hoge kosten gejaagd kan worden. Overigens krijgen gebruikers vanaf Android 4.2 een bericht wanneer er een bericht gestuurd wordt naar een (mogelijke) premium-dienst, waardoor deze malware vermoedelijk op korte termijn af zal nemen. Het is bij ons niet bekend of Google Hangouts, die inmiddels ook sms-ondersteuning heeft, ook waarschuwt voor premium-berichten op oudere Androidversies.

De overige kwaadaardige software wordt onderverdeeld in drie categorieën: spyware, trojan horses en overige. Wat in de categorie ‘overige’ bedoeld wordt met ‘Windows’, weten we niet…

Conclusie

Beveiligingsupdates voor Android worden door fabrikanten vaak pas laat of helemaal niet uitgebracht. Daarnaast controleert Google applicaties niet handmatig, in tegenstelling tot bijvoorbeeld Apple. Dat zorgt er voor dat, wanneer er een beveiligingslek in Android opduikt, er vaak wordt gewezen op de risico’s van het gebruik van een open systeem als Android. Ook virusscanner-bedrijven hebben daar een handje van: risico’s benoemen die in de praktijk vaak verwaarloosbaar zijn. 

Het feit dat Android redelijk beveiligd is, komt voornamelijk door het systeem dat Google het Android Safety Net noemt, een veiligheidsnet dat bestaat uit verschillende lagen: van platformupdates aan Android zelf tot het ondersteunen van (wetenschappelijk onderzoek) en de Play Store-beveiliging. Laten we hier heel duidelijk in zijn: Android is zeker niet 100% veilig, maar recente ervaringen zoals met de Masterkey-exploit laten ons wél zien dat Android zeker niet weerloos is, zelfs niet als je een Androidtoestel hebt met een systeemsoftwareversie die 4 jaar oud is. 

Bron: Google, Computerworld