Sicherheit

Google: Android-Sicherheitslücke jahrelang ignoriert

Google war eine schwere Sicher­heits­lücke seiner Authen­ticator-App bereits seit Jahren bekannt. Behoben wurde der Fehler aber nicht.

Android-Sicherheitslücke lange bekannt Android-Sicherheitslücke lange bekannt
Foto: dpa
Im Februar entdeckte ein Cyber­sicher­heits­unter­nehmen erst­mals eine Android-Malware, mit der die von der Google-Authen­ticator-App gene­rierten Codes für die Zwei-Faktor-Authen­tifi­zierung gestohlen werden konnten. Wie es in einem Bericht von ZDnet heißt, war das Cerberus genannte Schad­programm noch in der Entwick­lung. Von einem tatsäch­lich statt­gefun­denen Angriff ist nichts bekannt. Wie es weiter heißt, handelte es sich um eine Mischung aus einem Banking-Trojaner und einem Remote Access Trojaner. Sobald ein Android-Smart­phone infi­ziert werde, würde der Hacker die Banking-Trojaner-Funk­tionen der Malware verwenden, um Anmel­dein­forma­tionen für Mobile-Banking-Apps zu entwenden. Für den Fall, dass der Besitzer des Smart­phones die Zwei-Faktor-Authen­tifi­zierung und hierfür vor allem die Google-Authen­ticator-App genutzt hat, sei die Malware so konzi­piert worden, dass die Cerberus-Gruppe über den Remote Access Trojaner eine manu­elle Verbin­dung zum Smart­phone herstellen konnte. Hacker öffneten dann die Authen­ticator-App, gene­rierten einma­lige Pass­codes, machten einen Screen­shot der Codes und griffen auf das Benut­zerkonto zu.

Das hat Google versäumt

Android-Sicherheitslücke lange bekannt Android-Sicherheitslücke lange bekannt
Foto: dpa
Das Android-Betriebs­system ermög­licht es App-Entwick­lern, ein Flag zu setzen, das das Anfer­tigen von Screen­shots verhin­dert. So haben unter anderem Anbieter von Banking-Anwen­dungen diese Funk­tion genutzt, sodass das norma­lerweise system­weit verfüg­bare Feature zur Aufnahme von Bild­schirm­fotos blockiert wird. Ausge­rechnet Google selbst habe es aber versäumt, diese Funk­tion in seine Authen­ticator-App einzu­pflegen. Forscher von Night­watch Cyber­secu­rity erklärten, dass diese Sicher­heits­lücke schon im Oktober 2014 auf Github ange­spro­chen wurde, 2017 sei das Problem erneut zur Sprache gekommen. Hier habe Night­watch Cyber­secu­rity auch direkt das Sicher­heits­team von Google ange­spro­chen. Geän­dert hatte der Betreiber der Android-Platt­form aller­dings nichts.

Den glei­chen Fehler weist den Angaben zufolge auch die Authen­tifi­zierungs-App von Micro­soft für Android-Smart­phones auf. Auch Micro­soft habe bislang nicht auf den Fehler reagiert. Statt­dessen sei es weiterhin möglich, Bild­schirm­fotos anzu­fertigen. Sicher­heits­forscher argu­mentieren daher, dass die Kunden besser zu anderen Zwei-Faktor-Authen­tifi­zierungs­maßnahmen umsteigen sollten. Anbieter sollten aus Sicher­heits­gründen auch über gänz­lich andere Methoden zur Authen­tifi­zierung - wie etwa Hard­ware-Schüssel - nach­denken.

Mehr zum Thema Google Android