Fehler in Android erlaubt Apps Anrufe bei Premium-Diensten

Das Berliner Sicherheitsunternehmen Curesec hat einem Bericht von Computerworld zufolge eine Schwachstelle in Android gefunden, die es Apps erlaubt, auch ohne Genehmigung durch den Nutzer Anrufe zu tätigen. Die Anfälligkeit wurde mit Android 4.1.x Jelly Bean eingeführt. Die im Juni veröffentlichte Version 4.4.4 KitKat enthält einen Fix für die Lücke.

Curesec zufolge kann eine App nicht nur ohne Interaktion mit einem Nutzer beispielsweise einen Premium-Dienst anrufen, es ist auch möglich, ein laufendes Telefonat zu beenden. Der Fehler hebele die Sicherheitsbeschränkungen von Android aus, so Computerworld weiter. Apps ohne die Berechtigung „Call_Phone“ dürften unter normalen Umständen nicht in der Lage sein, Telefonnummern zu wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Sie ermöglichen einen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

„Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte“, schreibt Curesec-CEO Marco Laux in einem Blogeintrag. Das Unternehmen weist zudem darauf hin, dass Tools, mit denen die Berechtigungen einzelner Apps kontrolliert oder eingeschränkt werden können, den Fehler nicht beheben.

Darüber hinaus stellt Curesec Nutzern eine Test-Anwendung zur Verfügung, mit der sie überprüfen können, ob ihr Gerät anfällig ist. Die App versuche, die ungültige Rufnummer „31337“ anzurufen.

Google wurde von Curesec schon Ende 2013 über die Schwachstelle informiert. Auch wenn mit Android 4.4.4 inzwischen ein Patch vorliegt, sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. KitKat verbesserte sich zwar zuletzt auf 17,9 Prozent, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago