Kontrollübernahme per Fake-Apps
Erneut schwere Lücke in Android
Über vermeintlich harmlose Apps können Kriminelle offenbar fast vollen Zugriff auf Android-Handys erlangen. Über die Hälfte aller Android-Geräte sind angreifbar.
Sicherheitsforscher von IBM X-Force haben ein schweres Sicherheitsleck in Android entdeckt. Über scheinbar harmlose Apps können Fremde dadurch die Geräte kapern und manipulieren. Werden solche Apps, die sich als Spiel oder Taschenlampen-App tarnen, erst einmal auf dem Smartphone installiert, nutzen sie eine Lücke im Zertifikatsystem von Android, um andere Applikationen zu befallen. So erlangen sie den Status einer Super-App, die das Gerät, seine Funktionen und Informationen kontrollieren kann. Laut IBM sind über 55 Prozent aller Android-Handys angreifbar. Betroffen sind die Betriebssystemversionen 4.3 bis 5.1. und Android M.
»Nachrichten über schwere Sicherheitslücken im Mobile-Umfeld halten uns alle weiter in Atem« sagt Gerd Rademann, Business Unit Executive Security Systems DACH bei IBM. »Nach den Meldungen über Certifi-Gate und Stagefright haben auch unsere Sicherheitsexperten von IBM X-Force eine gravierende Lücke in Android entdeckt, durch die Cyberkriminelle Smartphones kapern und private Daten stehlen können.«
Besonders gefährlich ist die aktuelle Sicherheitsbedrohung, da der Angriff über eine scheinbar vollkommen harmlose App erfolgen kann, die zunächst keine besonderen Zugriffsrechte vom Anwender fordert. Wird sich jedoch vom Nutzer installiert, verschafft sich die Applikation durch eine Lücke im Zertifikatsystem von Android heimlich erweiterte Rechte und wird so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliert anschließend den Android-Kernel, ersetzt Anwendungen auf dem Smartphone und führt Shell-Befehle aus, um private Daten zu stehlen.
Die Lücke wurde innerhalb Androids OpenSSL-X.509-Zertfikatklasse entdeckt. Diese wird von Entwicklern zum Beispiel dazu genutzt, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren. Falls Hacker diesen Kommunikationskanal zwischen einer Applikation und der Hardware erfolgreich angreifen, können sie die Geräte wie ihre Besitzer fernsteuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden. Zudem können Kriminelle auch reale
Apps durch eigene Fake-Apps ersetzen, die zum Beispiel Informationen über den Nutzer aus Facebook oder Twitter sammeln. Auch vertrauliche Informationen, wie Zugangsdaten zum Onlinebanking, können auf diese Weise in die falschen Hände geraten und missbraucht werden. Google hat bereits Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M bereitgestellt. Detaillierte Infos der Forscher zu der so genannten Super-App-Lücke lassen sich online abrufen.
Lesen Sie mehr zum Thema
