Android: Sicherheitslücke ermöglicht Ausspähen privater Daten

Ein Angriff auf Googles GMail-App war zu 92 Prozent erfolgreich. Der Fehler besteht darin, dass alle Apps auf den gemeinsamen Speicher des Gerätes zugreifen können. Von der Schwachstelle sind wahrscheinlich auch andere Betriebssysteme wie Microsoft Windows Phone oder Apple iOS betroffen.

Android ist von einer Sicherheitslücke betroffen, die es Angreifern mittels einer entsprechend präparierten App ermöglicht, private Daten eines Smartphone-Besitzers auszuspähen. Das haben Forscher herausgefunden, die sich an der University of California Riverside und der University of Michigan mit dem Thema Sicherheit beschäftigen.

Android: Sicherheitslücke ermöglicht Ausspähen privater Daten der Gmail-App

Demonstriert wurde die Anfälligkeit unter anderem bei Googles GMail-Anwendung. Die Sicherheitsforscher konnten sie so gut wie immer überlisten. Die Erfolgsrate für einen Angriff lag bei 92 Prozent.

Für die Schwachstelle ist ein Fehler im Android-OS verantwortlich, der aber wohl auch in anderen mobilen Betriebssystemen steckt: Alle Apps haben die Möglichkeit, auf den mit anderen Applikationen gemeinsam genutzten Speicher eines mobilen Gerätes zuzugreifen. Forscher haben zwar nur Googles Android auf die Schwachstelle geprüft, sie gehen aber davon aus, dass auch Microsoft Windows Phone und Apple iOS anfällig sind.

“Die Annahme war immer, dass diese Apps sich ohne Weiteres nicht gegenseitig behindern können”, sagte Zhiyun Qian, Professor an der University of California Riverside. “Wir zeigen, dass diese Annahme falsch ist und eine App tatsächlich erheblichen Einfluss auf eine andere haben kann, was ernste Konsequenzen für den Nutzer haben kann.”

Ihren Angriff haben die Forscher am Beispiel einer harmlosen Anwendung wie einem Hintergrundbild demonstriert, das jedoch Schadcode enthält. Nach der Installation konnen die Forscher die App benutzen, um auf die Speicherstatistiken aller Prozesse zuzugreifen. Dafür wird ihnen zufolge keine besondere Berechtigung benötigt.

Danach beobachteten sie die Veränderungen im gemeinsamen Speicher. Die Änderungen ordneten sie verschiedenen Aktivitäten zu, wie beispielsweise einer Anmeldung bei Gmail, oder das Fotografieren eines Schecks, um ihn Online bei der US-Bank Chase einzureichen. Das gelang ihnen mit einer Wahrscheinlichkeit zwischen 82 und 92 Prozent. Mithilfe weiterer Techniken waren sie sogar in der Lage, die Aktivitäten eines Nutzers in Echtzeit zu überwachen.

HIGHLIGHT

Wenn der Akku unter Android nicht lange hält: Wakelocks finden

Wakelocks sind unter Android häufig die Ursache für einen ungewöhnlich hohen Akku-Verbrauch. Mit der App Wakelock Detector lassen sich Anwendungen aufspüren, die das Smartphone am Tiefschlaf hindern und den Akku schneller leeren, als üblich. Zum vollständigen Artikel

Allerdings muss der Angriff auf eine Android-App genau in dem Moment stattfinden, in dem der Nutzer eine bestimmte Aktion ausführt. Außerdem müsse eine Attacke so durchgeführt werden, dass der Nutzer nichts davon merke, ergänzten die Forscher. Beides sei ihnen durch eine sorgfältige Abstimmung gelungen.

“Wir wissen, dass sich der Nutzer in der Banking-App befindet, und wenn er oder sie sich anmeldet, dann fügen wir einen identischen Log-in-Bildschirm ein”, sagte Qi Alfred Chen, Doktorand an der University of Michigan. “Das geschieht nahtlos, da wir den zeitlichen Ablauf genau kennen.”

Um sich vor den Folgen der Schwachstelle zu schützen, rät Qian, nur Anwendungen aus vertrauenswürdigen Quellen zu installieren. Zudem sollten Nutzer die Berechtigungen, die Apps einfordern, genau anschauen.

Weitere Details zu ihrer Untersuchung (PDF) wollen die Forscher morgen auf dem Usenix Security Symposium in San Diego bekannt geben. Die Ausnutzung der Schwachstelle zeigt Qi Alfred Chen zudem anhand mehrerer Videos in seinem Youtube-Channel.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Android: Sicherheitslücke ermöglicht Ausspähen privater Daten

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *