Ich war heute auf einer Presse-Demonstration von Lookout Mobile Security, die ihre Sicherheit-App Lookout für Android nun auch auf dem deutschsprachigen Markt starten möchten. Für mich war das die erste Veranstaltung dieser Art und ich muss zugeben, dass ich ziemlich angetan war. Nicht weil es in einer ziemlich netten Umgebung stattgefunden hat und nicht weil es ein klasse Buffet gab, sondern weil der CTO und Mitbegründer Kevin Mahaffey wirklich sympathisch und – vor allen Dinge – auch kompetent war. Er sieht das Thema mobile Sicherheit nicht als reines Business Modell, sondern sieht sich eher der Hacker-Ethik von „Full Dislosure“ verbunden.
Angefangen hatte Kevin mit dem Hacken an Mobiltelefonen. Mit ein paar Freunden hat er nach/während des Studiums Handys nach Schwachstellen abgeklappert und diese den Herstellern gemeldet. Das damals schon Frustierende war, dass kaum eine der Schwachstellen behoben wird, da die Hersteller nur SEHR selten die Firmware aktualisieren.
Die Thematik ist auch heute noch aktuell: Jedes Computersystem hat Fehler, jedes System kann über Umwege überlistet werden. Die zugrunde liegenden Fehler werden zwar oft gefunden und behoben, so dass zukünftige Kunden sicherer unterwegs sind, doch welcher Hersteller liefert zeitnah Updates für alle seine Handys aus? Keiner! Da macht auch Google und Android keine Ausnahme.
Darum gehts bei Lookout, man möchte dem Nutzer die Möglichkeit geben sein Handy abzusichern, ohne dass man aber mit Sicherheits-Hinweisen zugeballert wird. Kevin meinte, dass viele seiner Lookout-Mitarbeiter aus Unternehmen stammen, die Antiviren-Software für PCs herstellen und die Arbeit an der Scareware gehasst haben. Ein Punkt, denn ich nur zu gut verstehen kann, wer mehr über Lookout und Kevin sehen möchte, der kann sich ja mal die Vorträge auf der Blackhat 2010 und der Defcon 18 ansehen.
Mit Lookout möchte er nun einen Neustart der Sicherheits-Software für Smartphones/Tablets starten. Das Unternehmen scannt bspw. zeitnah alle Neuzugänge in den Android-Market nach Auffälligkeiten. Werden ungewöhnliche Aufrufe, exzessive Rechte-Nutzung oder sonstige Auffälligkeiten automatisiert erkannt, dann wird die App von Hand überprüft und bei einem Malware-Verdacht an Google gemeldet. So kann innerhalb von Minuten eine App aus dem Market gelöscht werden.
Der Aufwand scheint auch nötig zu sein. Malware-Hersteller rippen automatisiert populäre Apps aus dem Market, fügen Malware ein und schicken sie wieder automatisch mit ähnlichem Namen und Logo in den Market. Fängt man sich so eine App ein, so versendet Sie bspw. SMS an Premium-Nummern, Lookout spricht hier von RuFraud.
Die Lookout-App finde ich nicht schlecht aufgemacht. Die Installation der App aus dem Market ist prinzipiell kostenlos, nach der Installation muss man sich entscheiden die Premium-Version der App mit ein paar weiteren Funktionen für 2,49 Euro/Monat bzw. 24,99 Euro/Jahr zu kaufen oder weiteren die kostenlose Variante zu nutzen. Alternativ kann man die Premium-Funktionen für 14 Tage freischalten lassen, ohne dass dabei ein sich automatisch verlängerndes Abo ergibt. Ärgerlich finde ich jedoch dass der Hinweis auf den Testzeitraum NACH der Kaufoption für die Premium-App erscheint.
Die App ist kein Virenscanner wie man ihn vom PC kennt. Es läuft nicht permanent ein Dienst im Hintergrund, der per Heuristik oder Glaskugel nach pösen Purschen sucht. Bei Lookout geht es primär um die Installation von Apps aus dem Market oder manuell über APK-Dateien. Hier scannt Lookout über die Cloud nach verschiedenen Mustern und warnt, wenn eine zu installierende App Malware oder unerwartete Funktionen enthalten kann.
Generell finde ich Lookout gut, die App bietet neben dem Installationsschutz von Malware eine Ortungs- und Backup-Funktion. Mit dem Backup lassen sich Kontakte, Ruflisten und Bilder in der Lookout-Cloud speichern. Ein Service der vor allen Dingen Google-Skeptikern zugten kommen kann, die ihre Kontakte nicht in der Google Cloud speichern möchten. Vom Backup lassen sich gezielt Snapshots älteren Datums oder einzelne Kontakte wiederherstellen.
Lookout sagt dass sämtliche Daten verschlüsselt übertragen und gespeichert werden, so dass auch hauseigene Admins nicht ohne weiteres auf die vertraulichen Daten zugreifen können. Das Sichern von App-Daten ist jedoch noch nicht möglich, da dafür Root-Rechte erforderlich wären. Mit der Premium-Version lässt sich das Backup auch auf anderen Handys (iOS oder Android) wiederherstellen. Wer also von Android zu iPhone visa versa migriert, der kann den Testzeitraum dazu nutzen schnell die Kontakte von einem auf das Nächste Gerät zu übertragen.
Das Argument, dass die Lookout-Cloud eine Alternative für Google-Skeptiker sei, erschließt sich mir nicht. Die Skepsis besteht ja meistens darin seine Daten (bzw die Daten seiner Kontakte) einer Firma zu überlassen. Hier wird eigentlich nur eine Firma durch eine andere Firma ersetzt.
Die verschlüsseln die Daten, so dass kein Fremder dran kommt, nichtmal die eigenen Admins … ja, alles schonmal gehört, entweder es hat sich als dreiste Lüge herausgestellt, oder es lässt sich nicht unabhängig überprüfen, weil der Quellcode natürlich nie veröffentlicht wird (klar, dann wäre ja das Geschäftsmodell weg).
Kurzum, wenn man Google nicht vertraut, warum sollte man dann den Behauptungen einer anderen Firma glauben?
Den Ansatz Apps zu überprüfen finde ich aber super, und wenn es nur dazu führt, dass sich die Entwickler mehr Gedanken darüber machen, welche Berechtigungen ihre Anwendung wirklich benötigt. Da sind ja manchmal sehr merkwürdige Dinge bei, und zahlreiche Apps sind deshalb bei mir auch rausgeflogen bzw. nie installiert worden.
Jug, es gibt doch einige Leute, die Cloud-Lösungen nicht ablehnen, aber der „Google-Kracke“ nichts weiter in den Rachen werfen wollen.
Ich lehne Cloud-Lösungen auch nicht aus Prinzip ab, aber wenn mir jemand verspricht, dass da alles verschlüsselt wird und selbst deren Administratoren nicht dran kommen, dann würde ich dafür gerne handfeste Beweise sehen. Werbebotschaften der Hersteller glaube ich jedenfalls nicht einfach so. Also entweder gibt es ein unabhängiges Gutachten (Peer Review) von einer vertrauenswürdigen Institution, oder das Ding ist Open Source. Andernfalls glaube ich den Versprechungen wie gesagt nicht, und vertraue dem Produkt auch keine sensiblen Daten an.
Deshalb wäre das eigentlich schöner, wenn Lookout in zwei Produkte aufgeteilt würde. Einen Wächter für den Market der warnt, bevor man eine schädliche App installiert und die installierten Apps untersuchen kann. Und die Cloud-Funktionen gibts dann separat.
Im aktuellen Zustand sehe ich zum Beispiel nicht ein, warum Lookout Zugriff auf meine SMS benötigt, das wird vermutlich nur zum Cloud-Backup benötigt – werde ich wohl eher nicht nutzen, also muss die App dieses Recht (auf meinem Gerät) nicht haben. Da hilft die Rechteverwaltung von Android leider überhaupt nicht weiter, weil man die Rechte nicht „bei Bedarf“ vergeben/verweigern kann, sondern nur einmal bei der Installation.
> Deshalb wäre das eigentlich schöner, wenn Lookout in zwei Produkte aufgeteilt würde.
Das ist schon so, das Backup musst du erst gar nicht aktivieren bzw. kannst es komplett deaktivieren. Den Zugriff auf SMS begründet Lookout mit „To activate the Missing Device features from mylookout.com, we send a text message to your phone that is intercepted by Lookout via receive SMS. For our Wipe feature, we need access to edit and read SMS or MMS in order to wipe (delete) messages.“ Verständlich, oder?
Vom ***Gefühl*** her ist Lookout nicht auf deine Daten aus. Irgendwo habe ich mal gelesen: „Wenn ein Dienst nichts kostet, dann ist nicht der Dienst die Ware, sondern Du.“ Der Dienst kostet, und das in meinen Augen nicht zu knapp. Von daher habe ich bei Lookout eher das Gefühl eben nicht Ware, sondern Kunde zu sein.
> Das ist schon so, das Backup musst du erst gar nicht aktivieren bzw. kannst es komplett deaktivieren.
Nein, ich muss der App Zugriff auf meine SMS geben – ganz egal wie gut die das begründen, auch wenn man das Feature deaktiviert und nicht nutzt, hat die App den Zugriff trotzdem, und als Anwender hat man keine Möglichkeit diesen zu kontrollieren. Sowas wie LBE sollte Android wirklich von Haus aus anbieten. Das ist kein direktes Problem von Lookout, sondern eher von den Permissions bei Android.
> Vom ***Gefühl*** her ist Lookout nicht auf deine Daten aus.
Gefühle können täuschen. Und wir haben leider schon etliche Unternehmen gesehen, die plötzlich gehackt wurden und Daten entwendet wurden … Sicherheit (und genau darum geht es ja bei Lookout) hat mit „Gefühl“ gar nichts zu tun.
> Irgendwo habe ich mal gelesen: “Wenn ein Dienst nichts kostet, dann ist nicht der Dienst die Ware, sondern Du.”
Jap. geekandpoke.typepad.com Das wurde dann mal (für alle die die Botschaft noch nicht verstanden haben) zu dem Bild umgebastelt, das du vermutlich meinst “Facebook & You – If you’re not paying for it, you’re not the customer. You’re the Product being sold.”