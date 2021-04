Warnung vor alternativen Stores – Wenn sogar der App Store zum Schädling wird Ein Drittanbieter für Android-Apps wurde zur Schadcode-Schleuder. Wie das passieren konnte und warum man nicht in Panik geraten muss. Rafael Zeier

Wurde selbst zur Quelle von Schadsoftware: Die Apkpure-App. Foto: Rafael Zeier

Gross ist jeweils die Aufregung, wenn wieder eine teuflische Android-App Schlagzeilen macht, die Nutzerinnen und Nutzer hereinlegt, ausspioniert, Daten klaut und sonstige Gemeinheiten anstellt. Erst neulich tauchte wieder so eine App auf: Sie versprach das Smartphone mit System-Updates immer aktuell zu halten, war aber in Tat und Wahrheit ein hinterhältiger Datendieb, der die Kontrolle über das ganze Handy übernehmen konnte.

Nur: Ganz so dramatisch war das dann doch nicht. Denn so heimtückisch die App auch war, sie wurde nicht über Googles eigenen App Store vertrieben. Dort gelingt es fiesen Apps zwar auch hin und wieder, an den Kontrollen vorbeizukommen. Aber diese ausgesprochen gefährliche App gab es nicht bei Google.

Die gab es nur bei alternativen App Stores. Schnell zur Erkärung für iPhone-Nutzerinnen und -Nutzer: Anders als bei Ihrem Smartphone gibt es bei Android nicht nur den einen offiziellen App Store. Es gibt eine Vielzahl von Alternativen. Allen voran hat Amazon einen eigenen App Store, und in Asien, wo Google weniger dominant ist, gibt es noch viele weitere.

Dazu kann man sich Apps auch direkt aus dem Internet herunterladen. Ganz ohne App Stores. Man muss nur die gewünschte Installationsdatei (APK-Datei) finden, ein paar Warnungen wegklicken, und schon wird die App installiert. Solche Methoden sind bei Leuten beliebt, die gern am Smartphone basteln, die Google aus dem Weg gehen wollen und die (etwa auf den neusten Huawei-Handys) keinen Zugriff auf Googles App Store haben.

Trotzdem hat sich über die Jahre die Faustregel bewährt: Solche alternativen Stores und vor allem Direkt-Downloads sollte man nur nutzen, wenn man ganz genau weiss, was man tut. In den meisten Fällen ist es das Risiko einfach nicht wert. Apps mögen noch so offiziell aussehen und sind es dann eben doch nicht immer.

Zur Werbeschleuder geworden

Genau so ein Fall ist übers Wochenende publik geworden. Schadcode ist nicht etwa in einer gewöhnlichen App aufgetaucht, sondern in der App von Apkpure, einem der populärsten Anbieter für Installationsdateien. Wie das Fachmagazin «Heise» berichtet, konnte die App Daten sammeln, Werbeanzeigen öffnen und weitere Schadsoftware nachladen.

Experten von Kaspersky gehen davon aus, dass der Schadcode über ein Programmmodul für die Werbeanzeige in die App gelangt ist. Die Programmiererinnen und Programmierer von Apkpure hätten das vorgefertigte Element wohl eingebaut, ohne es ausreichend zu prüfen.

Mit einem Update hat Apkpure den Schadcode inzwischen entfernt. Dennoch dient die Episode einmal mehr als Warnung davor, bei solchen alternativen App Stores nicht alle Vorsicht über Bord zu werfen, nur weil es dort eine Wunsch-App gibt oder weil man damit ein paar Franken sparen kann. Mit grosser Offenheit kommt eben auch grosse Eigenverantwortung.

Ob die Offenheit bei App-Installationen nun Fluch oder Segen ist, diskutieren zurzeit selbst Gerichte. Beim grossen Streit zwischen Apple und dem Spiele-Giganten Epic geht es genau um diese Frage: Muss ein Betriebssystem-Anbieter alternative App Stores und Möglichkeiten, Apps zu installieren, zulassen? Oder ist das aus Sicherheitsgründen nicht machbar und sowieso ein zu grosser Eingriff in die Wirtschaftsfreiheit?

