Google stopft kritische Lücke im Android Market

Google hat einen Fehler im Android Market behoben, der es Angreifern ermöglicht, schädliche Anwendungen zu verteilen und darüber die Kontrolle über Geräte zu übernehmen. Nach Angaben des Sicherheitsforschers Jon Oberheide, der die Lücke gefunden und Mitte Februar Google gemeldet hatte, wurde das Loch schon vor etwa einer Woche gestopft.

„Seit dem Start des Android Market vor rund einem Jahr war es möglich, aus der Ferne Apps mit beliebigen Rechten auf ein Mobiltelefon aufzuspielen“, schreibt Oberheide, Gründer und Chief Technology Officer von Duo Security (vormals Scio Security), in einem Blogeintrag. Ein Opfer müsse lediglich dazu verleitet werden, auf seinem Handy oder seinem Desktop auf einen manipulierten Link zu klicken.

„Der Exploit funktioniert universell über alle Android-Geräte, Betriebssystemversionen und Architekturen hinweg“, heißt es weiter in dem Blogeintrag. Die zugrunde liegende Cross-Site-Scripting-Lücke (XSS) beschreibt Oberheide als eine „niedrig hängende Frucht“. Er sei überrascht, dass niemand vor ihm den Fehler, der in Websites sehr verbreitet sei, gefunden habe.

Die Möglichkeit, von Desktop-Rechnern aus über den Android Market beziehungsweise per Browser Anwendungen an ein Gerät zu schicken, sei sehr bequem, aber auch riskant, so Oberheide. Jede XSS-Lücke könne missbraucht werden, um eine App auf einem Mobiltelefon zu installieren. Da es auf dem Gerät keine Nachfrage oder Bestätigung für Installationsanforderungen gebe, könne ein Angreifer unbemerkt schädliche Anwendungen einspielen. Einzige Voraussetzung sei, dass ein Anwender auf seinem PC oder Mobiltelefon mit seinem Google-Konto angemeldet sei.

Im Gespräch mit ZDNet forderte er Google auf, in einem Pop-up-Fenster eine Bestätigung des Handybenutzers für App-Downloads einzuholen. Der Android Market sei „nicht von Natur aus unsicher, aber es besteht eine Gefahr, wenn man seinen Computer mit einem Google-Konto und seinem mobilen Gerät verbindet“, sagte Oberheide.

Google hat Oberheide zufolge für die Entdeckung der Lücke eine Belohnung von 1337 Dollar gezahlt. Erst danach habe er von dem in dieser Woche stattfindenden Hackerwettbewerb „Pwn2Own“ erfahren. Dort hätte er ein Preisgeld von bis zu 15.000 Dollar gewinnen können.

In der vergangenen Woche hatte Google mehr als 50 schädliche Applikationen aus dem Android Market verbannt. Sie werden nun aus der Ferne von den rund 260.000 Android-Handys gelöscht, die die Apps heruntergeladen hatten. Eine Sicherheitslösung von Google, die sich automatisch installiert, soll die Spuren der Malware entfernen.


Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen (Bild: Jon Oberheide).

HIGHLIGHT

Malware für Android: echte Gefahr oder Übertreibung?

Antivirenhersteller warnen vor Schädlingen im Android Market und bieten kostenpflichtigen Schutz an. ZDNet erläutert, warum es faktisch keine Malware für das Google OS gibt, und ein Virenschutz nicht erforderlich ist.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago