Startseite > Security > IBM warnt vor Super-App-Lücke in Android

Angreifer können mit gefälschten Apps Android-Geräte kontrollieren

IBM warnt vor Super-App-Lücke in Android

17. August 2015, 8:20 Uhr | LANline/wg

Kriminelle können über scheinbar harmlose Apps fast vollen Zugriff auf Android-Geräte erlangen, warnen Sicherheitsforscher von IBM X-Force. Ist die Malware auf dem Smartphone installiert, könne sie eine Lücke im Zertifikatsystem von Android nutzen, um den Status einer "Super-App" zu erlangen, die das Gerät kontrollieren kann. Betroffen sind laut IBM-Angaben über die Hälfte aller Android-Smartphones.

„Nachrichten über schwere Sicherheitslücken im Mobile-Umfeld halten uns alle weiter in Atem“, kommentiert Gerd Rademann, Business Unit Executive Security Systems DACH bei IBM. „Nach den Meldungen über Certifi-Gate und Stagefright haben auch unsere Sicherheitsexperten von IBM X-Force eine gravierende Lücke in Android entdeckt, durch die Cyberkriminelle Smartphones kapern und private Daten stehlen können.“

Die Sicherheitsforscher Or Peles und Roee Hay von IBM X-Force warnen, dass Android-Geräte mit den OS-Versionen 4.3 bis 5.1 sowie Android M betroffen sind: Installiert ein Nutzer die zunächst harmlos scheinende Malware – getarnt als Spiel oder Taschenlampen-App – auf seinem Gerät, verschaffe sie sich durch eine Lücke im Zertifikatsystem von Android heimlich erweiterte Rechte und werde so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliere anschließend den Android-Kernel, ersetze Anwendungen auf dem Smartphone und führe Shell-Befehle aus, um private Daten zu stehlen.

Die Lücke wurde laut IBMs Security-Forschern in Androids OpenSSL-X.509-Zertfikatklasse gefunden. Entwickler nutzen diese beispielsweise, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren.

Durch eine Kompromittierung dieser Kommunikation, so IBM, können Angreifer die Geräte wie ihre Besitzer steuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden; zudem können sie reale Apps durch gefälschte („Fake“-) Apps ersetzen, die zum Beispiel Informationen über den Nutzer aus Facebook oder Twitter sammeln. Auch vertrauliche Informationen, wie Zugangsdaten zum Onlinebanking, gerieten so leicht in die Hände von Kriminellen.

Google hat bereits Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M bereitgestellt. Außerdem hat sich Google nach den diversen Sicherheitslücken der letzten Wochen dazu verplichtet, nun monatlich Patches zu veröffentlichen, wie man dies von Microsoft kennt.

Aufgrund der hochgradigen Vielfalt von Endgeräten, die unter Android laufen, kann es aber erfahrungsgemäß lange dauern, bis zumindest ein nennenswerter Teil der Geräte gepatcht ist. Und viele Geräte werden diese Patches wohl nie erhalten.

Detaillierte Informationen zur Super-App-Lücke haben die IBM-Sicherheitsforscher unter securityintelligence.com/one-class-to-rule-them-all-new-android-serialization-vulnerability-gives-underprivileged-apps-super-status veröffentlicht. In einem Video zeigen sie, wie sie mittels der Lücke die Facebook-App auf einem Android-Gerät ersetzt haben.