Fehler in Android erlaubt Apps Anrufe bei Premium-Diensten

Das Berliner Sicherheitsunternehmen Curesec hat einem Bericht von Computerworld zufolge eine Schwachstelle in Android gefunden, die es Apps erlaubt, auch ohne Genehmigung durch den Nutzer Anrufe zu tätigen. Die Anfälligkeit wurde mit Android 4.1.x Jelly Bean eingeführt. Die im Juni veröffentlichte Version 4.4.4 KitKat enthält einen Fix für die Lücke.

Curesec zufolge kann eine App nicht nur ohne Interaktion mit einem Nutzer beispielsweise einen Premium-Dienst anrufen, es ist auch möglich, ein laufendes Telefonat zu beenden. Der Fehler hebele die Sicherheitsbeschränkungen von Android aus, so Computerworld weiter. Apps ohne die Berechtigung „Call_Phone“ dürften unter normalen Umständen nicht in der Lage sein, Telefonnummern zu wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Sie ermöglichen einen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

„Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte“, schreibt Curesec-CEO Marco Laux in einem Blogeintrag. Das Unternehmen weist zudem darauf hin, dass Tools, mit denen die Berechtigungen einzelner Apps kontrolliert oder eingeschränkt werden können, den Fehler nicht beheben.

Darüber hinaus stellt Curesec Nutzern eine Test-Anwendung zur Verfügung, mit der sie überprüfen können, ob ihr Gerät anfällig ist. Die App versuche, die ungültige Rufnummer „31337“ anzurufen.

Google wurde von Curesec schon Ende 2013 über die Schwachstelle informiert. Auch wenn mit Android 4.4.4 inzwischen ein Patch vorliegt, sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. KitKat verbesserte sich zwar zuletzt auf 17,9 Prozent, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

23 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

24 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago