Unsicher?

Android: Sicherheitslücke ermöglicht Umwandlung von Apps

Nachdem Stagefright dem Image der Android-Plattform sichtlich zugesetzt hat, kommt jetzt schon die nächste Sicherheitslücke ans Tageslicht. Apps lassen sich so zombifizieren.
Von mit Material von
AAA

Auch aktuelle Android-Modelle sind im Fadenkreuz  Auch aktuelle Android-Modelle sind im Fadenkreuz Sicherheitsforscher von IBM haben eine neue Sicherheitslücke in Android-Handys entdeckt. Über scheinbar harmlose Apps könnten Angreifer damit auf fast alle Daten aus dem Smartphone zugreifen. Mehr als jedes zweite Gerät mit den Betriebs­system­versionen 4.3 bis 5.1 und Android M Preview 1 sei davon betroffen. "Nachrichten über schwere Sicherheits­lücken im Mobile-Umfeld halten uns alle weiter in Atem", sagte Gerd Rademann, Sicherheitsexperte bei IBM.

Hack nutzt eine Lücke in einer Android-Zertifikatsklasse

Über eine Lücke in einer Zertifikatsklasse von Android, die Entwickler nutzen, um ihrer App Zugriff zu bestimmten Daten zu gewähren, könnten Angreifer das Smartphone theoretisch komplett übernehmen. So könnten sie Spähfunktionen in einer scheinbar harmlosen Spiele- oder Taschenlampen-App verstecken. Sobald der Nutzer sie installiert hat, könnten die Hacker über die Lücke heimlich weitere Zugriffsrechte aktivieren. So entstehe eine "Super-App mit nahezu vollem Zugriff".

Sicherheitsexperten demonstrieren den Hack mit Nexus 5

Für den Versuchsaufbau hat das Team ein Google Nexus 5 mit Android 5.1.1 verwendet. Darauf ist die Standard-Facebook installiert und zusätzlich wurde eine Maleware erstellt, welche von der entdeckten Sicherheitslücke Gebrauch macht. In dem Beispiel verfügt die Maleware über keinerlei App-Berechtigung, wie in dem YouTube-Video demonstriert wird. Allerdings sind die Folgen durchaus als dramatisch zu beschreiben. So überschreibt der "Schadcode" in dem Anwendungsbeispiel die herkömmliche Facebook-App, mit einer von dem Experten fingierten "Fakebook"-Anwendung. Die Fake-App hat nach dem Neustart des Handys Zugriff auf Logindaten des Nutzers, auch wenn diese verschlüsselt sind.

IBM-Angaben zufolge stellte Google bereits Patches für die Android-Versionen 4.4 und 5.1 sowie für Android M bereit. Ob diese allerdings schon von den Smartphoneherstellern in Form von Updates an die Endkunden verteilt wurden, ist unklar.

Stagefright-Bug ist noch nicht bei allen Herstellern beseitigt

Unter dem Namen Stagefright war zuletzt eine weitere gravierende Sicherheitslücke in Android entdeckt worden, die noch immer nicht von allen Smartphone-Herstellern geschlossen wurde. In einem Editorial haben wir uns daher die Frage gestellt, ob die Android-Sicherheitspolitik der Hersteller noch tragbar ist. Die Antwort können Sie hier nachlesen.

So funktioniert die Trojaner-Masche

Kriminelle nutzen Stagefright als Trittbrettfahrer aus: In einer täuschend echt wirkenden E-Mail mit einem vermeintlichen Sicherheits-Update mit Google als angeblichem Absender verstecken die Angreifer eine Android-Schadsoftware. In der Nachricht geben sie vor, dass es über die Stagefright-Lücke bereits einen unberechtigten Zugriff aus Russland auf das Google-Konto des Empfängers gegeben habe. Wer den Link anklickt, aktiviere allerdings den Trojaner, der dann den Kriminellen weitreichenden Fernzugriff auf das Smartphone erlaube.

Mehr zum Thema Sicherheit