Sicherheitsforscher der University of California Riverside und der University of Michigan haben eine Schwachstelle in Android entdeckt, die es einer schädlichen App erlaubt, auf persönliche Daten zuzugreifen. Bestimmte Anwendungen, darunter Googles Gmail-App, konnten sie mithilfe der Anfälligkeit mit einer Erfolgsrate von bis zu 92 Prozent knacken.
Der Fehler steckt in einer Funktion, die Android mit anderen Mobilbetriebssystemen gemeinsam hat: Alle Anwendungen können auf den gemeinsamen Speicher eines Mobilgeräts zugreifen. Obwohl sie ihren Angriff nur unter Android getestet haben, gehen sie davon aus, dass auch Windows Phone und iOS betroffen sind.
„Die Annahme war immer, dass diese Apps sich ohne Weiteres nicht gegenseitig behindern können“, sagte Zhiyun Qian, Professor an der University of California Riverside. „Wir zeigen, dass diese Annahme falsch ist und eine App tatsächlich erheblichen Einfluss auf eine andere haben kann, was ernste Konsequenzen für den Nutzer haben kann.“
Ihren Angriff haben die Forscher am Beispiel einer harmlosen Anwendung wie einem Hintergrundbild demonstriert, das jedoch Schadcode enthält. Nach der Installation konnen die Forscher die App benutzen, um auf die Speicherstatistiken aller Prozesse zuzugreifen. Dafür wird ihnen zufolge keine besondere Berechtigung benötigt.
Danach beobachteten sie die Veränderungen im gemeinsamen Speicher. Die Änderungen ordneten sie verschiedenen Aktivitäten zu, wie beispielsweise einer Anmeldung bei Gmail, oder das Fotografieren eines Schecks, um ihn Online bei der US-Bank Chase einzureichen. Das gelang ihnen mit einer Wahrscheinlichkeit zwischen 82 und 92 Prozent. Mithilfe weiterer Techniken waren sie sogar in der Lage, die Aktivitäten eines Nutzers in Echtzeit zu überwachen.
Allerdings muss der Angriff auf eine Android-App genau in dem Moment stattfinden, in dem der Nutzer eine bestimmte Aktion ausführt. Außerdem müsse eine Attacke so durchgeführt werden, dass der Nutzer nichts davon merke, ergänzten die Forscher. Beides sei ihnen durch eine sorgfältige Abstimmung gelungen.
„Wir wissen, dass sich der Nutzer in der Banking-App befindet, und wenn er oder sie sich anmeldet, dann fügen wir einen identischen Log-in-Bildschirm ein“, sagte Qi Alfred Chen, Doktorand an der University of Michigan. „Das geschieht nahtlos, da wir den zeitlichen Ablauf genau kennen.“
Um sich vor den Folgen der Schwachstelle zu schützen, rät Qian, nur Anwendungen aus vertrauenswürdigen Quellen zu installieren. Zudem sollten Nutzer die Berechtigungen, die Apps einfordern, genau anschauen.
Weitere Details zu ihrer Untersuchung (PDF) wollen die Forscher morgen auf dem Usenix Security Symposium in San Diego bekannt geben. Die Ausnutzung der Schwachstelle zeigt Qi Alfred Chen zudem anhand mehrerer Videos in seinem Youtube-Channel.
[mit Material von Michelle Star, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
