Sicherheitsforscher von Georgia Tech und der University of California in Santa Barbara haben einen Design-Fehler in Android entdeckt (PDF), der es unter Umständen erlaubt, Anmeldedaten für beliebige Websites und Dienste zu stehlen. Der Cloak and Dagger genannte Angriff basiert auf Clickjacking, also dem Einblenden gefälschter Dialoge oder Fenster, mit deren Hilfe Nutzer dazu gebracht werden, bestimmte Aktionen auszuführen.
Eine Proof-of-Concept-App, die den Cloak-and-Dagger-Angriff ausführt, testeten die Forscher mit 20 Nutzern. Alle Probanden installierten bei der Interaktion mit der App unwissentlich eine sogenannte God-Mode-App, bei der alle Android-Berechtigungen aktiviert sind. Diese App wiederum erlaubte es den Forschern, die Anmeldedaten eines für diesen Test eingerichteten Facebook-Kontos auszulesen – ohne dass die Nutzer den Datendiebstahl bemerkten.
„Die Ergebnisse unsere Studie sind besorgniserregend. Obwohl die schädliche App tatsächlich Clickjacking ausführte um den Nutzer zu verleiten, die Berechtigung Bind_Accessibility_Service zu setzen, die God-Mode-App mit alle Berechtigungen installiert wurde und die Anmeldedaten des Facebook-Testkontos gestohlen wurden, hatte keine der Testpersonen auch nur den geringsten Verdacht für einen Angriff.“ Auch nachdem die Nutzer von der Kompromittierung ihres Geräts erfahren hätten, seien sie nicht in der Lage gewesen, irgendwelche ungewöhnlichen Aktivitäten zu erkennen.
Google ist das Problem inzwischen bekannt. Ein Update für den Sicherheitsdienst Google Play Protect soll nun verhindern, dass Apps ähnlich dem Proof of Concept der Forscher installiert werden. Weitere Schutzmaßnahmen sollen zusammen mit der kommenden OS-Version Android O eingeführt werden – wovon in absehbarer Zeit nur wenige Nutzer profitieren werden.
Darüber hinaus ist der Google Play Store leider dafür bekannt, dass er auch schädliche Apps verbreitet. Erst in der vergangenen Woche machte CheckPoint die nach eigenen Angaben „wahrscheinlich größte Malware-Kampagne“ öffentlich, die bisher in Googles Online-Marktplatz gefunden wurde. Die von einem südkoreanischen Unternehmen betriebene Kampagne soll bis zu 36,5 Millionen Nutzer betreffen. Die fraglichen Apps generieren betrügerische Werbeklicks für ihre Entwickler. Einige der insgesamt 41 Apps blieben über mehrere Jahre hinweg unentdeckt im Play Store.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Matthew Broersma, Silicon.co.uk]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…