Super-App-Lücke in Android bietet Angreifern weitreichende Systemrechte

IBM zufolge können Angreifer weitreichende Systemrechte erhalten und eine bösartige App als eine Art „Super-App“ einsetzen. Die Lücke betrifft über 55 Prozent aller Android-Smartphones. Google hat den Fehler bereits behoben.

Die kritische Sicherheitskücke in Android, die Sicherheitsforscher von IBM entdeckt haben, soll über 55 Prozent aller Android-Smartphones von Android 4.3 bis zu 5.1 inklusive der ersten Vorschauversion von Android M betreffen. Angreifer könnten durch Ausnutzung dieser kritischen Serialization-Lücke weitreichende Systemrechte erhalten, dadurch eigenen Code in Apps und Services auf dem Gerät ausführen und beispielsweise eine bösartige App als eine Art „Super-App“ einsetzen, auch wenn diese zuvor über keine Berechtigungen verfügte.

Smartphone Hacker (Bild: Shutterstock/drical)

Smartphone Hacker (Bild: Shutterstock/drical)

Angreifer können die Schwachstelle ausnutzen, um eine auf dem jeweiligen Gerät laufende Anwendung zu ersetzen, Wie Roee Hay und Or Peles vom X-Force Application Security Research Team bei IBM ausführen. Damit haben sie anschließend die Möglichkeit, auf alle dieser App zugänglichen Daten zuzugreifen. Selbst wenn die Daten verschlüsselt wären, könnte die gefälschte App mühelos die Anmeldedaten des Nutzers stehlen. Die Angreifer könnten außerdem SELinux umgehen durch die Änderung der SELinux-Richtlinien und auf einigen Geräten sogar beliebigen Kernel-Code ausführen. In einer Videodemonstration zeigen die Forscher, wie sie die Facebook-App durch eine andere App ersetzen.

Die Sicherheitsexperten schreiben in einem Blogeintrag: „Die entdeckten Schwachstellen resultieren daraus, dass es einem Angreifer möglich ist, die Pointerwerte während der Objekt-Deserialisierung im frei wählbaren Speicherplatz der App zu kontrollieren“. Dieser könne anschließend durch nativen App-Code genutzt werden. Als Einfallstor machten Peles und Hay die Klasse OpenSSLX509Certificate aus und schufen einen Proof-of-Concept-Exploit, der die Ausführung beliebigen Codes erlaubt.

Nicht nur in Android und Google Play Services wurde die Schwachstelle gefunden, sondern auch in verschiedenen Software Development Kits von Drittanbietern. Den Entdeckern zufolge war es nicht besonders schwierig, den Fehler zu beheben. Laut Peles hat Google das Problem in Android 4.4, 5.0, 5.1 sowie im kommenden Android M gefixt. Auch Drittanbieter sollen bei ihren SDKs für Abhilfe gesorgt haben.

Mit StageFright und Certifi-gate waren in den letzten Wochen bereits schwerwiegende Sicherheitslücken in Android bekannt geworden. Nach StageFright – von den Entdeckern als „Mutter aller Android-Lücken“ bezeichnet – setzte ein Umdenken hinsichtlich der Verteilung von sicherheitsrelevanen Updates ein. Google und Samsung kündigten für ihre Geräte regelmäßige Patch-Zyklen an, um die Probleme einzudämmen. Künftig soll mit einer Art regelmäßigem Patchday gewährleistet werden, dass neben den Plattform-Updates auch Sicherheitsupdates die breite Masse der Nutzer so schnell wie möglich erreichen. Allerdings scheint sich Google dafür nicht wie Microsoft und Adobe auf einen bestimmten Tag festlegen zu wollen – bei den beiden ist es der zweite Dienstag im Monat –, sondern lediglich die Selbstverpflichtung aufzuerlegen, derartige Updates mindestens einmal im Monat zu verteilen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Super-App-Lücke in Android bietet Angreifern weitreichende Systemrechte

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *