Sicherheitslücke in Android-Apps: Anrufe bei Premium-Diensten möglich

Die Schwachstelle steckt in allen Versionen von Android ab 4.1.x Jelly Bean bis 4.4.3 KitKat. Ein Fix enthält nur das neueste Android 4.4.4. Neben Anrufen bei kostenpflichtigen Premium-Diensten ermöglicht der Fehler auch das Ausführen von USSD- oder MMI-Codes.

Googles Android weist eine Schwachstellte auf, die es schädlichen Apps ermöglicht, ohne die Erlaubnis des Smartphone-Besitzers kostenpflichtige Rufnummer zu wählen. Entdeckt haben die Sicherheitslücke die Sicherheitsexperten des in Berlin ansässigen Unternehmens Curesec. Das berichtet Computerworld. Google wurde von Curesec schon Ende 2013 über die Schwachstelle informiert.

Sicherheitslücke in Android-Apps: Anrufe bei Premium-Diensten möglich

Die Schwachstelle steckt in allen Versionen von Android ab 4.1.x Jelly Bean bis 4.4.3 KitKat. Ein Fix enthält nur das neueste Android 4.4.4. Neben Anrufen bei kostenpflichtigen Premium-Diensten ermöglicht der Fehler auch das Ausführen von USSD- oder MMI-Codes (Bild: ZDNet.com).

Einen Fix enthält nur die allerneueste KitKat-Version Android 4.4.4. Damit sind fast alle gängigen Versionen des Android-OS anfällig. Das Sicherheitsloch steckt in Android 4.1.x, 4.2.x und 4.3 Jelly Bean sowie in den übrigen Versionen von Android 4.4. KitKat. Nicht betroffen sind Geräte mit den früheren Android-Versionen Ice Cream Sandwich, Gingerbread oder Froyo. Ein Großteil der Android-Nutzer ist also betroffen. Jelly Bean kommt aktuellen Zahlen von Google zufolge auf einen Marktanteil von 56,5 Prozent. KitKat liegt bei 17,9 Prozent. Allerdings ist die neueste Version 4.4.4 noch nicht für allzu viele Geräte erhältlich. Abgesehen von den Nexus-Geräten wird sie in Deutschland von Sony für das Xperia Z1, Xperia Z1 Compact und Xperia Z Ultra und Motorola für das Moto G verteilt. Ein Alternative wäre ein Custom ROM wie CyanogenMod 11 auf Basis von Android 4.4.4, für das gerade die M8-Stable-Builds erschienen sind. Google wird Sicherheitsupdates jedoch in Zukunft über die Google Play Services ausliefern, was den Schutz für Android-Nutzer vor derartigen Sicherheitsbedrohungen erheblich erhöhen dürfte, da Google die Sicherheitspatches nun deutlich schneller über die Dienste verteilen kann, ohne das ganze Betriebssystem aktualisieren zu müssen. Nähere Informationen liefert der Beitrag „Google Play Dienste für Android: Version 5.0 ermöglicht Sicherheitspatches„.

Den Sicherheitsforschern von Curesec zufolge kann eine schädliche App ohne Zutun des Smartphone-Besitzers beispielsweise einen kostenpflichtigen Premium-Dienst anrufen. Außerdem sei es auch möglich, ein laufendes Gespräch zu beenden. Der Bug heble die Sicherheitsbeschränkungen von Android aus, so Computerworld weiter. Applikationen ohne die Berechtigung “Call_Phone” dürften normalerweise nicht in der Lage sein, Telefonnummern zu wählen.

Der Fehler lässt sich zudem ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auf einem Gerät auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Sie ermöglichen einen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blogeintrag. Das Unternehmen weist zudem darauf hin, dass Tools, mit denen die Berechtigungen einzelner Apps kontrolliert oder eingeschränkt werden können, den Fehler nicht beheben.

Curesec stellt Smartphone-Besitzern eine Test-Anwendung namens CRT-Kolme zur Verfügung, mit der sie überprüfen können, ob ihr Gerät anfällig ist. Die App versuche, die ungültige Rufnummer “31337″ anzurufen. Die APK-Datei kann hier heruntergeladen werden. Für die Installation muss in den Geräteeinstellungen unter dem Punkt Sicherheit die Option “Unbekannte Herkunft” aktiviert sein.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke in Android-Apps: Anrufe bei Premium-Diensten möglich

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *