One Class to Rule Them All: IBM entdeckt Super-App-Lücke in Android

Cyberkriminelle können sich über scheinbar harmlose Apps fast vollen Zugriff auf Android-Handys erschleichen. Sind die Apps erst einmal auf dem Smartphone installiert, nutzen sie eine Lücke im Zertifikatsystem von Android. [...]

Nach Stagefright und Certifi-Gate wieder eine neue Lücke in Android entdeckt. (c) Rudolf Felser
Nach Stagefright und Certifi-Gate wieder eine neue Lücke in Android entdeckt.

Die Sicherheitsforscher Or Peles und Roee Hay von IBM X-Force warnen davor, dass mehr als jedes zweite Android-Handy angreifbar ist. Konkret sind das die Betriebssystemversionen 4.3 bis 5.1 und Android M. Hacker können für den Angriff eine scheinbare Spiele- oder Taschenlampen-App nutzen, die zunächst keine besonderen Zugriffsrechte vom Anwender fordert. Dadurch erscheint sie harmlos. Installiert ein Nutzer sie, verschafft sich die Applikation durch eine Lücke im Zertifikatsystem von Android heimlich erweiterte Rechte und wird so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliert anschließend den Android-Kernel, ersetzt Anwendungen auf dem Smartphone und führt Shell-Befehle aus, um private Daten zu stehlen. In einem Video zeigen die Sicherheitsforscher der IBM X-Force, wie sie mittels der Lücke die Facebook-App auf einem Android-Gerät ersetzten.

Die Lücke wurde innerhalb Androids OpenSSL-X.509-Zertfikatklasse gefunden, welche Entwickler beispielsweise nutzen, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren. Falls Hacker diesen Kommunikationskanal zwischen einer Applikation und der Hardware erfolgreich angreifen, können sie die Geräte wie ihre Besitzer steuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden. Darüber hinaus können sie reale Apps durch eigene Fake-Apps ersetzen, die zum Beispiel Informationen über den Nutzer aus Facebook oder Twitter sammeln. Auch vertrauliche Informationen, wie Zugangsdaten zum Onlinebanking, geraten so leicht in die Hände von Cyberkriminellen.

Auf dem Security Intelligence Blog der Sicherheitsforscher findet sich eine detaillierte Analyse der Lücke, die glücklicherweise offenbar noch nicht in großem Maßstab ausgenutzt wird. Außerdem hat Google bereits Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M bereitgestellt. (pi/rnf)


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*