Android: Google schließt Sicherheitslücke, die Phishing-Attacken ermöglichte

Der Fehler steckte in Googles Rechtesystem. Apps erhielten bei der Installation automatisch die als „normal“ eingestufte Berechtigung für das Austauschen von App-Symbolen anderer Anwendungen auf dem Homescreen. Google hat bereits einen Patch an seine OEM-Partner verteilt.

Googles Mobilbetriebssystem Android war von einer Sicherheitslücke betroffen, die es schädlichen Anwendungen erlaubte, die Icons anderer Applikationen auf dem Homescreen des Gerätes zu ersetzen, ohne dass der Anwender darüber benachrichtigt wird. Dadurch hatten Angreifer die Möglichkeit, Smartphone- oder Tablet-Besitzer auf eine Phising-Webseite umzuleiten oder direkt zu Schadsoftware zu führen. Die Sicherheitslücke hat Google mittlerweile geschlossen, nachdem Sicherheitsexperten des Unternehmens FireEye die Anfälligkeit entdeckt und den Suchmaschinenbetreiber darauf aufmerksam gemacht hatten.

Android: Google schließt Sicherheitslücke, die Phishing-Attacken ermöglichte

Der Fehler steckte in Googles Rechtesystem. Apps erhielten bei der Installation automatisch die als „normal“ eingestufte Berechtigung für das Austauschen von App-Symbolen anderer Anwendungen auf dem Homescreen. Google hat bereits einen Patch an seine OEM-Partner verteilt (Bild: FireEye).

Der Fehler steckte in Googles Rechtesystem. Laut FireEye wurden die Berechtigungen für das Lesen und Schreiben von Einstellungen im Android-Launcher  (“com.android.launcher.permission.READ_SETTINGS” und “com.android.launcher.permissions.WRITE_SETTINGS”) als „normal“ eingestuft. Als „normal“ deklarierte Berechtigungen werden einer Applikation bei der Installation jedoch automatisch erteilt, ohne dass der Besitzer des Android-Gerätes explizit zustimmen muss.

In einer Pressemitteilung des Sicherheitsunternehmens heißt es: “FireEye hat entdeckt, dass einige Berechtigungen der Stufe „normal“ gefährliche Auswirkungen auf die Sicherheit haben können. Mit „normalen“ Zugriffsrechten können schädliche Anwendungen rechtmäßige Symbole auf dem Android-Homescreen durch Fälschungen ersetzen, die direkt zu Phishing-Webseiten oder – Applikationen führen.”

Eine Hintertür habe Google in diesem Zusammenhang mit Android 4.2 geschlossen. Die Berechtigung zum Erstellen von Programmverknüpfungen sei seitdem nicht mehr als “normal” sondern als “gefährlich” eingestuft, sodass ein Nutzer vor der Installation einen Hinweis erhält und zustimmen muss. Seit Android 1.x würden die Zugriffsrechte für das Einfügen und Modifizieren von Programmsymbolen jedoch durchgängig als “normal” klassifiziert.

“Eine schädliche App mit diesen beiden Zugriffsrechten kann die Icon-Einstellungen des Systems abfragen, ergänzen und ändern und dann legitime Icons von sicherheitsrelevanten Apps – wie zum Beispiel Banking-Apps – zu einer Phishing-Website umleiten. FireEye hat einen solchen Angriff auf einem Nexus 7 mit Android 4.4.2 erfolgreich durchgeführt”, beschreibt FireEye die Schwachstelle. “Außerdem verhindert Google Play die Veröffentlichung dieser App nicht, und es gibt keinerlei Warnhinweise, wenn ein Nutzer sie herunterlädt und installiert.”

Betroffen sind nach Unternehmensangaben nicht nur Android-Geräte, die den Original-Launcher des Android Open Source Project (AOSP) verwenden. Die Schwachstelle lasse sich auch mit einem Nexus 7 mit CyanogenMod 4.4.2 oder einem Samsung Galaxy S4 mit Android 4.3 sowie dem HTC One mit Android 4.4.2 ausnutzen.

Google habe die Schwachstelle inzwischen bestätigt und für seine OEM-Partner einen Patch herausgegeben, so FireEye weiter. Allerdings hätten viele Anbieter von Android-Geräten früher nur langsam Sicherheitsupdates übernommen. “FireEye rät Anbietern dringend, Sicherheitslücken schneller mit Patches zu beheben, um ihre Kunden zu schützen.”

[Mit Material von Stefan Beiersmann, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Android: Google schließt Sicherheitslücke, die Phishing-Attacken ermöglichte

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *