Sophos: "App mit niedriger Reputation" - Samsung Galaxy Tab

[paulpaulsenscr]

Hallo,

auf meinem Samsung Tablet (Galaxy Tab 2019) hat die Sophos App "Intercept X" über Nacht beim Laden eine App mit niedriger Reputation im Rahmen einer Sicherheitsbewertung gefunden.

Name: FullArchive7477032061582589956538
Speicherort: /storage/emulated/0/android/data/com.android.vending/files/dna_data

Unmittelbar nach dem Fund wurde die Datei aus der Sicherheitsbewertung entfernt. Sie war auch nicht mehr in dem genannten Verzeichnis vorhanden. Wenn ich das richtig verstehe ist der genannte Pfad das Downloadverzeichnis für PlayStore Apps.

Bei meinen Samsung Geräten zeigt Sophos immer mal wieder (wenn das Gerät geladen wird), dass Apps installiert/geupdatet werden. Zumindest tauchen dann Benachrichtigungen auf, wie sie sonst bei händischen Installationen erscheinen. Ich hatte den Fall mit niedriger Reputation auch schon auf einem anderen Gerät. Apps aus unbekannten Quellen sind genauso deaktiviert, wie automatische Updates im PlayStore.

Das Gerät habe ich kurz vorher auf Werkseinstellungen resettet und alle Apps aktualisert. Anzahl der Apps war vor und nach der Sophos Meldung identisch. Eine 2. App zeigt mir zusätzlich App Updates/Installationen an. Die hat zum Zeitpunkt der Sophos Meldung nichts angezeigt (sonst zeigte sie alle Vorgänge).

Ich habe mich auch schon ans Sophos Forum gemeldet, aber das ist glaube ich auch nur eine Community Geschichte, daher parallel mal hier, ob ihr ähnliches Verhalten von euren Geräte kennt bzw. dieses Dateiarchiv irgendwie deuten könnt.

Dank

.

 

[Tamron]

Hast du Apps die du sideloadest oder aus anderen Quellen installierst?
Und was überhaupt dein Sophos finden könnte ist eine andere Sache.

P.S. man kann auch Screenshots auf einem Android Gerät machen...

 

[paulpaulsenscr]

Sideloadest? Ich lade manuell nur aus dem PlayStore. Vorinstallierte Apps (wie zB Galaxy Store) sind laut den App Einstellungen tlw. vom Galaxy Store selbst geladen worden. Zumindest steht das so da. Ich habe keine Samsung Account laufen und benutze diesen Store auch nicht. Wie gesagt: aus unbekannten Quellen ist deaktiviert.

Zum Screenshot: Stimmt. Aber es war bereits 15 min nach "du musst zur Arbeit, sonst kommst du zu spät" + neues Gerät ohne den festen Knopf, mit dem ich vorher Screenshots gemacht habe. Daher die archaische Variante. Tablet liegt jetzt daheim.

 

[Tamron]

Ich würde die Sophos App einfach runterschmeißen. Der Nutzen ist wie gesagt eh fraglich unter Android.

 

[Conqi]

Diesem Link nach handelt es sich dabei schlicht nur um den Cache des Google Play Store. Wenn du den leerst, sollte der Ordner leer sein. Kannst du ja mal testen. Vermutlich war es nur ein Fehlalarm.

 

[paulpaulsenscr]

Die Datei war ja gar nicht mehr im Ordner, als ich das dann heute morgen überprüft habe. Ob die bei Sophos deswegen aus der Sicherheitsbewertung rausgenommen wurde, oder durch die entfernt wurde (eher unwahrscheinlich), weiß ich nicht.

Ich würde ja auch auf Fehlalarm tippen. Aber meine Paranoia meint was anderes.

---

Edit:

Habe nochmals mein Tablet resettet. Gleiches Resultat. Direkt (~3 ) nach Anschluss am Strom kam erneut eine Sophos Meldung (kA wie lange es beim 1. mal gedauert hat - habe ich nicht drauf geachtet). Was mir auffiel: Die Samsung App "Daily Board" ging auch gleich beim Laden mit an. Die schalte ich normalerweise direkt nach Inbetriebnahme immer ab. Vllt. habe ich das beim 1. Fund auch vergessen. Ob das zusammenhängt, weiß ich nicht. Jedenfalls aktiviert sich diese App auf Normaleinstellungen immer beim Laden. Zumindest gibt sie eine Nachricht ab.

Jedenfalls danach nochmals Reset gemacht und "Daily Board" deaktiviert (Deinstallieren lässt sie sich nicht). Bis jetzt kam weder beim Laden, noch sonstwann eine Nachricht.


Da ich mehrere Samsung Tablets habe, habe ich das Prozedere auch nochmals mit factory reset + anderes Netzwerk + anderen Google Account gemacht. Die Software (Androidversion etc. dürfte vergleichbar sein). Auch hier kam mit Standardeinstellungen eine Sophos Nachricht. Allerdings nicht direkt beim Start des Ladevorgangs, aber ziemlich kurz danach.