Avira: Android, Lügen und Viren

Avira hat mir in den letzten Tagen zwei Werbe-Emails geschickt, die mich an der Ehrlichkeit von Avira zweifeln lassen.

Avira: Android-Virus-Lüge

In Aviras Werbe-Email vom 3. Juli heißt es:

520.000 neue Android-Viren jeden Monat. Achte darauf, daß Du geschützt bist. Mach ein Upgrade auf die Pro-Version für 7,95 €.

Avira Android Email

Ich kommentierte das in einem Tweet, der von Avira bemerkt wurde:

macmark_de: Email von Avira: 520.000 neue Schädlinge für #Android jeden Monat. Das glaube selbst ich nicht. http://t.co/PXwLrHbBNm

AskAvira: @macmark_de Die Anzahl der neuen Erkennungen für Android Malware und Adware lag im Juni tatsächlich bei "nur" etwa 160.000

macmark_de: @askavira 160.000 im Juni sind deutlich weniger als "520.000 neue Schädlinge für #Android jeden Monat". Dann war die Werbemail eine Lüge?

Es sind also nicht eine halbe Million pro Monat, sondern deutlich weniger, wie sie selbst zugeben. Und es sind keine Viren, sondern allgemein Malware, mutmaßlich Trojanische Pferde, und Adware. Wahrscheinlich zählen sie auch jedes Exemplar eines Typs einzeln, um auf die Zahl zu kommen. Wie auch immer. Auf jeden Fall war die Malware-Anzahl eine glatte Lüge. Avira sollte sich schämen. Aber das ist ja die übliche Masche der AV-Industrie: Schreckenszahlen nennen, um den Absatz ihrer Produkte zu erhöhen.

Witzigerweise zeigen sie in dieser Android-Werbung vorne im Bild auch noch ein iPhone. Hauptsache die Angst-Message kommt cool rüber.

Daß AV-Software ein völlig aussichtsloses Unterfangen ist, hatte ich schon in CSI MacMark: Nicht-Machbarkeit von Anti-Viren-Software dargelegt. In einem späteren Artikel werde ich dann auch noch darauf eingehen, warum AV-Software selbst eine Gefahr für den User darstellt.

Avira: Counter-Lüge

In der Werbe-Mail vom 9. Juli, möchte mich Avira mit einem Avira-App-Store beglücken:

Avira App Store

Die Mail verlinkt auf diese Avira-Seite. Ich habe mir zuerst die iOS-Variante angesehen und festgestellt, daß sie nur eine weitere Webseite ist und beim Kaufen die entsprechende App-Seite im Apple-App-Store aufruft. Man landet also in Apples Store und kauft letztendlich dort. Avira behauptet, sie hätten die Apps, die sie anbieten, äh verlinken, äh zu Apple weiterleiten, alle getestet. Schwer vorstellbar, da sie kaum mit Apples Änderungen an Apps im Store mithalten können.

Die Android-Variante ist im Gegensatz dazu eine eigene native App. Kauft man dort ein, dann erfolgt der Download von appland.se ohne daß es der User mitbekommt. Ich habe es bemerkt, weil ich den Analyse-Proxy Charles dazwischen gehängt habe. Das bedeutet: Auch hier hat Avira tatsächlich keine Kontrolle darüber, was der User runterlädt. Das Versprechen, von Avira getestete Apps zu bekommen, halte ich darum für nicht haltbar.

Auf der Avira-Seite wird unten angezeigt, wieviele Avira-Installationen es angeblich gibt. Irgendwas mit 300 Millionen meistens. Der initiale Wert kommt von dieser Rest-Schnittstelle im JSON-Format. Dort sind dann "Samples" von Zeitstempeln und zugehörigen Startwerten im 300er Millionen-Bereich aufgeführt. Das einzige, was sich an den Daten bei wiederholten Anfragen ändert, ist ein "current"-Zeitstempel. Die Zahlen für die äh Downloads / Installs ändern sich nicht. Sieht schonmal unecht aus.

Im JavaScript wird der Request so zusammengebaut: obj.jsonUrl = ('https:' == document.location.protocol ? 'https:' : 'http:') + "//www.avira.com/installscounter.php?t=" + new Date().getTime();

Wenn ich meine Zeitstempel in einem Request wie www.avira.com/installscounter.php?t=1405187917790 verändere, dann ändert das das Ergebnis offenbar nicht.

Aber es wird noch besser: Der Counter auf der Webseite für die Install-Zahl zählt immer weiter hoch im gleichem Takt, auch wenn der Computer offline ist. Schöner Fake. Der Wert im HTML ist diese Stelle:

Avira HTML Counter

Schaue ich mir die Stelle mit dem Safari-Developer-Menü im Web-Inspector an, dann gibt es tatsächlich ein JavaScript auf der Seite, das den Wert stumpf hochzählt. An der Ausgabe unten ist zu sehen, daß obj.counterContainer, das mit dem start Wert versorgt wird, das Element von oben mit der id "counter" ist. Ich konnte mit dem Debugger die Werte von "start" ändern, das vom JavaScript mit ++start pro Runde um 1 erhöht wird, und sah sie dann in der Webseite im Browserfenster.

Avira JavaScript

Avira gaukelt den Usern also völlig frei erfundene Installationszahlen vor, die sich einfach selbst lokal im Browser hochzählen. Der unbedarfte User bekommt dadurch den Eindruck, daß sich Avira wie warme Semmeln bei den Kunden verbreitet. Eine klare Lüge, da die Zahlen lokal vom Browser generiert werden.

Valid XHTML 1.0!

Besucherzähler


Latest Update: 12. July 2014 at 20:15h (german time)
Link: osx.realmacmark.de/blog/osx_blog_2014-07-a.php