Weiterführende Frage zu Virenscanner-Apps auf Android

[Manteuf]

Guten Abend zusammen,

ich hatte diese Frage bereits im Kuketz-Forum gestellt und dort den Tipp bekommen bei euch mal nachzufragen.

Konkret geht es um den Artikel von Mike bzgl. Virenscanner-Apps für Android.
Dort wird beschrieben, dass Anti-Viren-Apps in einer Sandbox ausgeführt werden, in welcher sie nur begrenzt arbeiten können. Ich habe das mal ausprobiert und meine Anti-Viren-App schlägt tatsächlich an, wenn ich die EICAR-Testdatei herunterlade und löscht sie nach Bestätigung.
Verstehe ich das falsch, dass die App das aufgrund der Sandbox eigentlich gar nicht dürfte oder wie kann man sich das anders vorstellen bzw. was ist der genaue Unterschied was die App – im Gegensatz zu Windows – nicht kann/darf?
Mir fehlt hier sozusagen der ,,Faden" zwischen ,,darf eigentlich nicht funktionieren aber funktioniert in der Praxis doch".

Meine zweite Frage ist bzgl. Malware auf Android.
So wie ich das verstanden habe, reproduziert sich ein Virus, wenn er sich eingenistet hat. Das ist bei Android aufgrund der Sandbox nicht möglich, richtig?
Gibt es auf Android dann aber noch die ,,klassischen" Malware-Arten wie z. B. Würmer oder Trojaner oder schützt die Sandbox hier auch etwas?

Meine dritte und letzte Frage.
Kann die Sandbox auch noch schützen, wenn man ausversehen eine Malware-App installiert hat, ihr aber keine Berechtigung gegeben hat?
Ich verstehe es so, dass man via die Berechtigungen die Sandbox ja quasi ,,löchriger" macht – kann man das so sagen?

Falls hier jemand bescheid weiß, vielen Dank im Voraus für die Expertise! 

[Bit]

Willkommen an Bord,

freut mich, daß Du den Weg gefunden hast. 

reproduziert sich ein Virus

Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese so anpasst, dass das Virus mit ausgeführt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zählen normale Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausführbaren Inhalten sowie Bootsektoren (auch wenn letztere normalerweise vom Betriebssystem nicht als Datei repräsentiert werden).

Das ist bei Android aufgrund der Sandbox nicht möglich, richtig?

Er sollte keine infizierbaren Dateien erreichen können, das ist der Sinn der Sandbox, setzt aber voraus, daß der Virus sich innerhalb der Sandbox befindet.

Konkret geht es um den Artikel von Mike bzgl. Virenscanner-Apps für Android.
Dort wird beschrieben, dass Anti-Viren-Apps in einer Sandbox ausgeführt werden, in welcher sie nur begrenzt arbeiten können.

Entschuldige: Was für einen Sinn hat ein Virenscanner in einer Sandbox?

Das Sandbox-Modell verhindert die von Desktop-Systemen (Windows, macOS etc.) bekannte/gewohnte Funktionalität eines Antiviren-Scanners. Denn damit eine Virenscanner-App wirksam arbeiten könnte, müsste sie tief in Android/iOS eindringen bzw. verankert sein. Aufgrund der strikten Trennung zwischen App und dem darunterliegenden System können Virenscanner-Apps allerdings nicht zuverlässig bzw. nur sehr eingeschränkt funktionieren. Innerhalb der Sandbox kann eine Virenscanner-App die Aktivitäten anderer Apps nicht analysieren – genau das wäre allerdings notwendig, um zu beurteilen, ob eine App schadhafte Funktionen ausführt.

Ich habe das mal ausprobiert und meine Anti-Viren-App schlägt tatsächlich an, wenn ich die EICAR-Testdatei herunterlade und löscht sie nach Bestätigung.
Verstehe ich das falsch, dass die App das aufgrund der Sandbox eigentlich gar nicht dürfte oder wie kann man sich das anders vorstellen bzw. was ist der genaue Unterschied was die App – im Gegensatz zu Windows – nicht kann/darf?
Mir fehlt hier sozusagen der ,,Faden" zwischen ,,darf eigentlich nicht funktionieren aber funktioniert in der Praxis doch".

Ich kenne diese Datei nicht, aber wenn der Virenscanner sie als Malware erkennt, während beide in der Sandbox sitzen, ist das zwar lustig, sagt aber gar nichts aus.

Irgendwie hat es mich nicht gewundert, daß Du nebenan keine Antwort bekommen hast.
Wie soll man Dir denn sinnvoll antworten?

Kann die Sandbox auch noch schützen, wenn man ausversehen eine Malware-App installiert hat, ihr aber keine Berechtigung gegeben hat?
Ich verstehe es so, dass man via die Berechtigungen die Sandbox ja quasi ,,löchriger" macht – kann man das so sagen?

Jetzt unabhängig von Mikes Artikel: Wenn Du eine App in eine Sandbox setzt, hat sie keinen Zugriff nach draußen und von draußen hat auch keine Software Zugriff auf die Gefangene.
Sollte es doch so sein, dann ist die Sandbox Schrott und gehört entsorgt. Weil sie als trügerische Falle funktioniert.

Das ist wie mit Gefängnissen, in denen Smartphone- und Drogenhandel blühen ...

Malware-Apps bekommen in der Regel ihre Rechte, indem sie sie von dem Benutzer erben.
Eine Malware, die nach der Installation noch eine Zuweisung von Berechtigungen braucht, wird nicht sehr erfolgreich sein, sofern sie als Malware bekannt ist.
Ansonsten wird sie in der Tarnung sicherlich Berechtigungen bekommen, aber dann ist Deine Frage drei obsolet.

[Manteuf]

Hallo Bit,

Willkommen an Bord,

freut mich, daß Du den Weg gefunden hast. 

danke für den Willkommensgruß und schön, dass du auch hier bist 

Und auch vielen Dank für deine Erklärung, das hat mir tatsächlich geholfen!

Ich kenne diese Datei nicht, aber wenn der Virenscanner sie als Malware erkennt, während beide in der Sandbox sitzen, ist das zwar lustig, sagt aber gar nichts aus.

Jetzt unabhängig von Mikes Artikel: Wenn Du eine App in eine Sandbox setzt, hat sie keinen Zugriff nach draußen und von draußen hat auch keine Software Zugriff auf die Gefangene.

Gucke – das war der fehlende Punkt bei mir. Ich war immer nur auf der Seite vom Scanner und habe mich von der blöden Datei irritieren lassen, aber nicht bedacht, dass die andere App ja auch in der Sandbox steckt 
Sorry für das Verwirren aber jetzt hab ichs verstanden