Fehler in Android erlaubt Apps Anrufe bei Premium-Diensten

Das Berliner Sicherheitsunternehmen Curesec hat einem Bericht von Computerworld zufolge eine Schwachstelle in Android gefunden, die es Apps erlaubt, auch ohne Genehmigung durch den Nutzer Anrufe zu tätigen. Die Anfälligkeit wurde mit Android 4.1.x Jelly Bean eingeführt. Die im Juni veröffentlichte Version 4.4.4 KitKat enthält einen Fix für die Lücke.

Curesec zufolge kann eine App nicht nur ohne Interaktion mit einem Nutzer beispielsweise einen Premium-Dienst anrufen, es ist auch möglich, ein laufendes Telefonat zu beenden. Der Fehler hebele die Sicherheitsbeschränkungen von Android aus, so Computerworld weiter. Apps ohne die Berechtigung „Call_Phone“ dürften unter normalen Umständen nicht in der Lage sein, Telefonnummern zu wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Sie ermöglichen einen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

„Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte“, schreibt Curesec-CEO Marco Laux in einem Blogeintrag. Das Unternehmen weist zudem darauf hin, dass Tools, mit denen die Berechtigungen einzelner Apps kontrolliert oder eingeschränkt werden können, den Fehler nicht beheben.

Darüber hinaus stellt Curesec Nutzern eine Test-Anwendung zur Verfügung, mit der sie überprüfen können, ob ihr Gerät anfällig ist. Die App versuche, die ungültige Rufnummer „31337“ anzurufen.

Google wurde von Curesec schon Ende 2013 über die Schwachstelle informiert. Auch wenn mit Android 4.4.4 inzwischen ein Patch vorliegt, sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. KitKat verbesserte sich zwar zuletzt auf 17,9 Prozent, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago