Google hat eine Sicherheitslücke in Android geschlossen, die es einer schädlichen App erlaubt, die Symbole anderer Apps auf dem Android-Homescreen auszutauschen, um einen Nutzer beispielsweise zu einer Phishing-Website oder der Malware selbst zu führen. Entdeckt hat die Anfälligkeit das Sicherheitsunternehmen FireEye.
Das Problem ist, dass die für das Lesen und Schreiben von Einstellungen im Android-Launcher benötigten Zugriffsrechte („com.android.launcher.permission.READ_SETTINGS“ und „com.android.launcher.permissions.WRITE_SETTINGS“) laut FireEye lediglich über die Stufe „normal“ verfügen. Berechtigungen der Stufe „normal“ werden einer App bei der Installation jedoch automatisch erteilt, ohne dass der Nutzer explizit zustimmen muss.
Die Screenshots einer Test-App von FireEye belegen, dass Android als „normal“ eingestufte Zugriffsrechte bei der Installation nicht anzeigt (Bild: FireEye).
„FireEye hat herausgefunden, dass einige der als ’normal‘ eingestuften Zugriffsrechte gefährliche Auswirkungen auf die Sicherheit haben können“, heißt es in einer Pressemitteilung des Unternehmens. „Mit ’normalen‘ Berechtigungen können schädliche Apps legitime Icons auf dem Android-Homescreen durch Fälschungen ersetzen, die direkt zu Phishing-Apps oder -Websites führen.“
Eine Hintertür habe Google in diesem Zusammenhang mit Android 4.2 geschlossen. Die Berechtigung zum Erstellen von Programmverknüpfungen sei seitdem nicht mehr als „normal“ sondern als „gefährlich“ eingestuft, sodass ein Nutzer vor der Installation einen Hinweis erhält und zustimmen muss. Seit Android 1.x würden die Zugriffsrechte für das Einfügen und Modifizieren von Programmsymbolen jedoch durchgängig als „normal“ klassifiziert.
„Eine schädliche App mit diesen beiden Zugriffsrechten kann die Icon-Einstellungen des Systems abfragen, ergänzen und ändern und dann legitime Icons von sicherheitsrelevanten Apps – wie zum Beispiel Banking-Apps – zu einer Phishing-Website umleiten. FireEye hat einen solchen Angriff auf einem Nexus 7 mit Android 4.4.2 erfolgreich durchgeführt“, beschreibt FireEye die Schwachstelle. „Außerdem verhindert Google Play die Veröffentlichung dieser App nicht, und es gibt keinerlei Warnhinweise, wenn ein Nutzer sie herunterlädt und installiert.“
Betroffen sind nach Unternehmensangaben nicht nur Android-Geräte, die den Original-Launcher des Android Open Source Project (AOSP) verwenden. Die Schwachstelle lasse sich auch mit einem Nexus 7 mit CyanogenMod 4.4.2 oder einem Samsung Galaxy S4 mit Android 4.3 sowie dem HTC One mit Android 4.4.2 ausnutzen.
Google habe die Schwachstelle inzwischen bestätigt und für seine OEM-Partner einen Patch herausgegeben, so FireEye weiter. Allerdings hätten viele Anbieter von Android-Geräten früher nur langsam Sicherheitsupdates übernommen. „FireEye rät Anbietern dringend, Sicherheitslücken schneller mit Patches zu beheben, um ihre Kunden zu schützen.“
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
2 Kommentare zu Google schließt Phishing-Lücke in Android
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Geschlossen vielleicht, aber höchstens 4% der Androiden können was damit anfangen, weil nur die das Hotfix je werden sehen können.
Ohne ein komplett überarbeitetes Sicherheitssystem und Konzept wird Android Flickwerk bleiben, so dass die überwiegende Mehrheit dauerhaft ein unsicheres System nutzen muss.
Traurigerweise ändert Google darsn nix.
So wird’s kommen, so wie mit Heartbleed und anderen Lücken, Google Patcht, aber kaum ein Gerätehersteller verteilt die Patches. Die wollen ja neue Geräte verkaufen, die sitzen das wie immer aus …