Google schließt Phishing-Lücke in Android

Google hat eine Sicherheitslücke in Android geschlossen, die es einer schädlichen App erlaubt, die Symbole anderer Apps auf dem Android-Homescreen auszutauschen, um einen Nutzer beispielsweise zu einer Phishing-Website oder der Malware selbst zu führen. Entdeckt hat die Anfälligkeit das Sicherheitsunternehmen FireEye.

Das Problem ist, dass die für das Lesen und Schreiben von Einstellungen im Android-Launcher benötigten Zugriffsrechte („com.android.launcher.permission.READ_SETTINGS“ und „com.android.launcher.permissions.WRITE_SETTINGS“) laut FireEye lediglich über die Stufe „normal“ verfügen. Berechtigungen der Stufe „normal“ werden einer App bei der Installation jedoch automatisch erteilt, ohne dass der Nutzer explizit zustimmen muss.

„FireEye hat herausgefunden, dass einige der als ’normal‘ eingestuften Zugriffsrechte gefährliche Auswirkungen auf die Sicherheit haben können“, heißt es in einer Pressemitteilung des Unternehmens. „Mit ’normalen‘ Berechtigungen können schädliche Apps legitime Icons auf dem Android-Homescreen durch Fälschungen ersetzen, die direkt zu Phishing-Apps oder -Websites führen.“

Eine Hintertür habe Google in diesem Zusammenhang mit Android 4.2 geschlossen. Die Berechtigung zum Erstellen von Programmverknüpfungen sei seitdem nicht mehr als „normal“ sondern als „gefährlich“ eingestuft, sodass ein Nutzer vor der Installation einen Hinweis erhält und zustimmen muss. Seit Android 1.x würden die Zugriffsrechte für das Einfügen und Modifizieren von Programmsymbolen jedoch durchgängig als „normal“ klassifiziert.

„Eine schädliche App mit diesen beiden Zugriffsrechten kann die Icon-Einstellungen des Systems abfragen, ergänzen und ändern und dann legitime Icons von sicherheitsrelevanten Apps – wie zum Beispiel Banking-Apps – zu einer Phishing-Website umleiten. FireEye hat einen solchen Angriff auf einem Nexus 7 mit Android 4.4.2 erfolgreich durchgeführt“, beschreibt FireEye die Schwachstelle. „Außerdem verhindert Google Play die Veröffentlichung dieser App nicht, und es gibt keinerlei Warnhinweise, wenn ein Nutzer sie herunterlädt und installiert.“

Betroffen sind nach Unternehmensangaben nicht nur Android-Geräte, die den Original-Launcher des Android Open Source Project (AOSP) verwenden. Die Schwachstelle lasse sich auch mit einem Nexus 7 mit CyanogenMod 4.4.2 oder einem Samsung Galaxy S4 mit Android 4.3 sowie dem HTC One mit Android 4.4.2 ausnutzen.

Google habe die Schwachstelle inzwischen bestätigt und für seine OEM-Partner einen Patch herausgegeben, so FireEye weiter. Allerdings hätten viele Anbieter von Android-Geräten früher nur langsam Sicherheitsupdates übernommen. „FireEye rät Anbietern dringend, Sicherheitslücken schneller mit Patches zu beheben, um ihre Kunden zu schützen.“

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de