Moin,

Es gibt ja außerhalb des Google Android Markets noch zahlreiche Alternativen zum Kauf von Apps: GetJar, SlideME, AndroidPIT oder der Amazon Appstore Stören tut mich bei allen (auch bei Google eigentlich - trotz Bouncer [1] (http://www.googlewatchblog.de/2012/02/google-erhoeht-sicherheit-im-android-market/) [2] (http://www.androidpit.de/de/android/blog/402285/Googles-Bouncer-ausgetrickst)), dass ich nie sicher sein kann, was die App eigentlich tut. Wenn ich Handsend benutze, könnte diese ja z.b. auch via Botnetz Premium-SMS versenden. Bei anderen Apps gilt das gleiche in Grün sofern kein Sourcecode verfügbar ist. Gibt es Windows / Linux Tools die solche Apps vorab testen können? Quasi ein Virenscanner für Android Apks? Busybox geht ja theoretisch mit dem Android SDK aber auch sehr aufwändig und Unpraktikabel.
Wie handhabt ihr es? Ich will ja nicht unbedingt auf die ganzen tollen Apps aus dem XDA Forum verzichten die garnicht im Market sind...

Einfach die Berechtigungen anschauen. Wenn du Zweifel bzgl. etwas hast, den Entwickler fragen, wieso er das braucht.
Ein Programm, das aus der Sandbox ausbricht, gabs afaik noch nicht. Nur wenn du root hast, solltest du noch extra aufpassen.

Einfach die Berechtigungen anschauen. Wenn du Zweifel bzgl. etwas hast, den Entwickler fragen, wieso er das braucht.
Ein Programm, das aus der Sandbox ausbricht, gabs afaik noch nicht. Nur wenn du root hast, solltest du noch extra aufpassen.

Aber falls ein Programm die Berechtigungen braucht? dann würden die sich ja auch ausnutzen lassen. oder hier: http://macmark.de/android.php?PHPSESSID=87cdc6eae5bfb806eb2e251db0cb0606#example_exploit (-stammt aus diesem Thread- (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=520107))

Neuer Versuch dem Thread Leben einzuhauchen? ^^

Eigentlich nicht, beim Suchen nach der richtigen Kategorie bin ich da nur drüber gestolpert. Meine eigentliche Frage ist, wie kann ich APKs auf ihre Sicherheit überprüfen, ohne sie auf dem Handy zu benutzen.

Berechtigung die das App haben möchte, steht ja im Market, wäre auf jeden Fall ein guter Anfang. ;)
Würde eh nichts von extern installieren, außer man weiß sehr gut wo es her kommt. Bei mir hatte ich mal Quake 2 drauf.

und sonst einfach ne Costom Rom draufpacken dann kannst du die auch selber beschränken !

@gast: den link habe ich auch schon gepostet.

@zergra: mir gehts nicht um die berechtigungen der software selbst. Was wenn Handsend Clone #1312 auf einmal Premiumsms versenden würde. Oder der neue Browser auf einmal Malwaremäßig ref-links nutzt, oder der neue Remotedesktop im Market meine Verbindung mitsnifft.


Mir geht es nicht um die Rechte per se. Sondern wie ich Android Software auf solch ein Verhalten untersuchen kann.

Na dann ist bei Apps, die potentiell exploitbare Berechtigungen erfordern, eben höchste Vorsicht geboten. Sowas sollte man nur im Market installieren, sich kurz den Entwickler anschauen, ob er einen vertrauenswürdigen Eindruck macht, die Kommentare, die Bewertungen durchlesen etc.

Sowas wie Anti-Viren-Software ist imo Blödsinn, da durch die Berechtigungen und die Sandbox verdammt viel schiefgehen muss, bis es wirklich zum Knall kommt. Selbst auf Windows ist die Nützlichkeit von Virenscannern mehr als fraglich.

Mit einer einem gepflegten Brain 1.0 sollte man unbeschadet durch die Android-Apps kommen.

DarkFox, du hast hier bei der Microsoft Umfrage (http://www.microsoft.com/germany/presseservice/news/pressemitteilung.mspx?id=533471) bestimmt auch "aufmerksam und vorsichtig sein" gewählt oder?^^ *jokingly*

:D Ne, aber es ist doch wahr. Die ganzen Sicherheitsapps müssen erstmal zeigen, dass sie einen Mehrwert bieten. Ganz generell und dann im speziellen dann noch für Benutzer, die ungefähr wissen, was sie tun.
Das ganze "Auf Android gibts die meiste Malware, ohne Virenscanner ist man ungeschützt"-Bla kommt doch von der Herstellern der AV-Software. Die suchen sich einen neuen Markt.
Wenn man mit der gleichen Vorsicht, mit der man einen PC bedient, auch an das Smartphone rangeht, ist man dort sicherer als auf dem PC.

Die anspruchsvolle Lösung: Apk dekompilieren und analysieren
http://forum.xda-developers.com/showthread.php?t=1085429

Die einfachere Lösung: Pdroid installieren und jede Verwendung der Rechte per Popup anzeigen lassen
http://forum.xda-developers.com/showthread.php?t=1357056
Natürlich musst du dem Pdroid Entwickler vertrauen, aber dafür kannst du ja noch den ersten Vorschlag verwenden.

Die einfachste Lösung: Google und dem Market vertrauen. Nach eigenen Aussagen führt Google eine (automatische) Sicherheitsanalyse der Apps im Market durch. Also in etwa wie ein Virenscanner ohne Signaturprüfung, nur mit Heuristiken.