Fehler in Android erlaubt Apps Anrufe bei Premium-Diensten

Das Berliner Sicherheitsunternehmen Curesec hat einem Bericht von Computerworld zufolge eine Schwachstelle in Android gefunden, die es Apps erlaubt, auch ohne Genehmigung durch den Nutzer Anrufe zu tätigen. Die Anfälligkeit wurde mit Android 4.1.x Jelly Bean eingeführt. Die im Juni veröffentlichte Version 4.4.4 KitKat enthält einen Fix für die Lücke.

Curesec zufolge kann eine App nicht nur ohne Interaktion mit einem Nutzer beispielsweise einen Premium-Dienst anrufen, es ist auch möglich, ein laufendes Telefonat zu beenden. Der Fehler hebele die Sicherheitsbeschränkungen von Android aus, so Computerworld weiter. Apps ohne die Berechtigung „Call_Phone“ dürften unter normalen Umständen nicht in der Lage sein, Telefonnummern zu wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Sie ermöglichen einen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

„Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte“, schreibt Curesec-CEO Marco Laux in einem Blogeintrag. Das Unternehmen weist zudem darauf hin, dass Tools, mit denen die Berechtigungen einzelner Apps kontrolliert oder eingeschränkt werden können, den Fehler nicht beheben.

Darüber hinaus stellt Curesec Nutzern eine Test-Anwendung zur Verfügung, mit der sie überprüfen können, ob ihr Gerät anfällig ist. Die App versuche, die ungültige Rufnummer „31337“ anzurufen.

Google wurde von Curesec schon Ende 2013 über die Schwachstelle informiert. Auch wenn mit Android 4.4.4 inzwischen ein Patch vorliegt, sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. KitKat verbesserte sich zwar zuletzt auf 17,9 Prozent, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de