2021 / Betrugsmasche / Sicherheitslücke

APKpure – Mehrwert, Sicherheit, Betreiber und Gefahren

In einem vorhergehenden Blogbeitrag haben wir bereits sicherheitskritisch betrachtet, inwieweit das Herunterladen von APK-Dateien sicherheitskritisch sein kann. Auch wurde dargestellt, dass es verschiedene Alternativen zum Google Play Store gibt. Eine beliebte Variante ist der App Store APKpure. Doch wie sieht es hier in puncto Mehrwert, Sicherheit und dem Betreiber aus?

Der Store APKpure

APKpure ist nicht nur eine Webseite, auf der Apps heruntergeladen werden können, wie APKMirror, sondern ein kompletter App Store. Denn anders als normalerweise werden auf dieser Webseite xAPK-Dateien zu Verfügung gestellt, welche nicht mit dem originalen APP-Installer von Android installiert werden können. Hierfür wird der eigens entwickelte APKpure Downloader benötigt. Hat man diese Anwendung installiert, können xAPK-Dateien aus dem Store installiert werden.

Zu finden sind Apps verschiedener Hersteller wie Instagram, Telegram, PayPal. Auch Googles eigener App-Store, der Play Store, ist hier zu finden. Ob die entsprechenden Rechte für die Verbreitung von APKpure vorhanden sind, ist dabei fraglich. Unter jeder Anwendung findet sich ein Punkt „uploaded by:“ und dann einem Nutzernamen. Am Ende der Webseite findet man den Punkt „Submit APK“. Es kann also jeder Nutzer eine APK Datei in dem Store hochladen, auch ohne die entsprechenden Rechte der Firma für eine weitere Verbreitung eingeholt zu haben.

Apkpure
Screenshot der APKpure Webseite zum Zeitpunkt der Beitragserstellung.

Sicherheit

Betrachtet man den bereits erwähnten Aspekt, dass jeder eine APK-Datei in den Store hochladen kann, ist es schwierig, ein hohes Maß an Sicherheit innerhalb der Apps zu gewährleisten. Auch wenn der Betreiber angibt, dass jede APK Datei manuell von dem APKpure Team untersucht wird – „Every APK file is manually reviewed by the APKPure team before being posted to the site. Your Name and What’s new may be shown publicly.“. Sollten also dem Team zum Beispiel eine Veränderung in der Instagram App nicht auffallen, so könnte diese Veränderung den Weg in den Store schaffen. Das modifizierte Instagram könnte als Beispiel Daten von Nutzern ausspionieren.

Ein großes Problem kann ebenfalls auftreten, wenn die Installationsanwendung selbst eine kritische Sicherheitslücke hat. So haben die Sicherheitsexperten der Kaspersky in den 2 vorhergehenden Versionen, also der Version 3.17.18, festgestellt, dass die Anwendung selbst einen Trojaner auf verschiedene Geräte installiert. APKpure zeigt in dem Store verschiedene Werbung an. Hierbei wird ein Interface verwendet, damit einfach Werbeeinblendungen geändert werden können. Dabei gibt es in der Schnittstelle eine Sicherheitslücke.

Diese konnte von Hackern ausgenutzt werden. Ein Trojaner fand so den Weg auf die verschiedenen Geräte der Nutzer, wenn diese keine entsprechenden Sicherheitspatches hatten. Die Sicherheit von APKpure ist somit miserabel.

Betreiber von APKpure

Auf der Webseite selbst findet man nur wenig Informationen über den Betreiber selbst. Schaut man sich die „über uns“ Seite an, findet man lediglich das Gründungsdatum. Einen Firmennamen, einen Firmensitz oder eine Kontaktperson sucht man dort vergeblich. Ein Kontaktformular ist jedoch vorhanden.

Abschließend lässt sich sagen, dass aufgrund der Sicherheitsmängel und dem Fehlen entsprechender Betreiberinformationen die Verwendung des APKpure App Stores vermieden werden sollte. Haben Sie den „APKpure Installer“ installiert, so sollte dieser zumindest dringend auf die aktuellste Version 3.17.20 gebracht werden. Einen Mehrwert des Stores konnte bei näherer Betrachtung nicht gefunden werden, da viele der Apps sowieso im Google Play Store zu finden sind.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.