PackageInstaller-Schwachstelle erlaubt Installation von Malware auf Android-Geräten

Sie steckt in etwa der Hälfte aller Android-Geräte, lässt sich aber nur ausnutzen, wenn Apps nicht aus dem Play Store, sondern von Drittanbieterquellen heruntergeladen werden. Die Lücke erlaubt Angreifern bei der Installation der Android-Paketdatei (APK) durch den Nutzer unbemerkt einzugreifen und diese durch eine App ihrer Wahl zu ersetzen.

Wie Palo Alto Networks bekannt gegeben hat, erlaubt die Lücke Angreifern in Googles Betriebssystem die Installation einer Android-Anwendung – der Android-Paketdatei (APK) – zu kapern und durch eine App ihrer Wahl zu ersetzen. Voraussetzung ist allerdings, dass der Download nicht bei Google Play, sondern bei einem alternativen Android-App-Marktplatz stattfindet. Der Angriff kann vom Benutzer unbemerkt und ohne dessen Zutun durchgeführt werden.

Logo Android (Bild: Google)

Laut des IT-Sicherheitsunternehmens sind von der Sicherheitslücke etwa 49,5 Prozent der Android-Geräte betroffen. Sie ermöglicht es Angreifern, Malware zu verteilen, Geräte zu kompromittieren und Benutzerdaten zu stehlen. Palo Alto Networks bietet bei Github und im Google Play Store eine Anwendung an, die Android-Nutzern hilft dabei hilft festzustellen, ob ihre Geräte betroffen sind.

Die vom Palo-Alto-Experten Xu Zhi entdeckte Schwachstelle steckt im Android-Systemdienst „PackageInstaller“. Angreifer können sich darüber auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. Dadurch ist es ihnen zu Beispiel möglich, Benutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen zu lassen, während sie die App tatsächlich vollen Zugriff auf alle Dienste und Daten auf dem Gerät des Benutzers, einschließlich persönlicher Daten und Passwörter, erlangen kann. Palo Alto Networks hat sowohl Google als auch die Android-Entwickler und Gerätehersteller bereits informiert, die die Lücke durch Patches in den betroffenen Versionen von Android beheben. Mobile Geräte mit einer älteren Version als Android 4.3_r0.9 können anfällig bleiben. Und auch bei einigen Android-4.3-Geräten wurde die Schwachstelle festgestellt.

Palo Alto Networks empfiehlt Nutzern und Unternehmen auf potenziell anfälligen Geräten nur Software-Anwendungen von Google zu installieren. Sie werden in einen geschützten Raum heruntergeladen, der durch den Angreifer nicht überschrieben werden kann.

Außerdem sollten keine Apps mit der Berechtigung auf Logcat zuzugreifen genutzt werden. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern erleichtern kann, die Schwachstelle auszunutzen beziehungsweise dies automatisiert zu tun. Android 4.1 und spätere Versionen von Android-Anwendungen verbieten den Zugriff auf Logcat im System und anderen installierten Apps standardmäßig. Einer installierten App könnte es laut Palo Alto dennoch gelingen, auf Logcat auf anderen Apps auf gerooteten mobilen Geräten mit Android 4.1 oder späteren Versionen zuzugreifen. Daher sollten es nach Ansicht des Herstellers Unternehmen Anwendern nicht gestatten, gerootete Geräte im Unternehmensnetzwerk einzusetzen.

[Mit Material von Peter Marwan, ITespresso.de]



Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu PackageInstaller-Schwachstelle erlaubt Installation von Malware auf Android-Geräten

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *