Android-Malware: Forscher kapern Smartphones per Clickjacking

Sicherheitsforscher von Georgia Tech und der University of California in Santa Barbara haben einen Design-Fehler in Android entdeckt (PDF), der es unter Umständen erlaubt, Anmeldedaten für beliebige Websites und Dienste zu stehlen. Der Cloak and Dagger genannte Angriff basiert auf Clickjacking, also dem Einblenden gefälschter Dialoge oder Fenster, mit deren Hilfe Nutzer dazu gebracht werden, bestimmte Aktionen auszuführen.

Der Fehler steckt in der Funktion „System_Alert_Window“, die es einer App erlaubt, andere Apps mit einem eigenen Fenster zu überlagern. Diese Funktion wiederum kann den Forschern zufolge benutzt werden, um ohne Wissen des Nutzers eine weitere Funktion namens „Bind_Accessibility_Service“ einzuschalten. Sie soll eigentlich Nutzern mit Einschränkungen helfen. Diese Funktion bewirkt, dass Apps über alle Ereignisse informiert werden, die ein Gerät betreffen.

Eine Proof-of-Concept-App, die den Cloak-and-Dagger-Angriff ausführt, testeten die Forscher mit 20 Nutzern. Alle Probanden installierten bei der Interaktion mit der App unwissentlich eine sogenannte God-Mode-App, bei der alle Android-Berechtigungen aktiviert sind. Diese App wiederum erlaubte es den Forschern, die Anmeldedaten eines für diesen Test eingerichteten Facebook-Kontos auszulesen – ohne dass die Nutzer den Datendiebstahl bemerkten.

„Die Ergebnisse unsere Studie sind besorgniserregend. Obwohl die schädliche App tatsächlich Clickjacking ausführte um den Nutzer zu verleiten, die Berechtigung Bind_Accessibility_Service zu setzen, die God-Mode-App mit alle Berechtigungen installiert wurde und die Anmeldedaten des Facebook-Testkontos gestohlen wurden, hatte keine der Testpersonen auch nur den geringsten Verdacht für einen Angriff.“ Auch nachdem die Nutzer von der Kompromittierung ihres Geräts erfahren hätten, seien sie nicht in der Lage gewesen, irgendwelche ungewöhnlichen Aktivitäten zu erkennen.

Google ist das Problem inzwischen bekannt. Ein Update für den Sicherheitsdienst Google Play Protect soll nun verhindern, dass Apps ähnlich dem Proof of Concept der Forscher installiert werden. Weitere Schutzmaßnahmen sollen zusammen mit der kommenden OS-Version Android O eingeführt werden – wovon in absehbarer Zeit nur wenige Nutzer profitieren werden.

Darüber hinaus ist der Google Play Store leider dafür bekannt, dass er auch schädliche Apps verbreitet. Erst in der vergangenen Woche machte CheckPoint die nach eigenen Angaben „wahrscheinlich größte Malware-Kampagne“ öffentlich, die bisher in Googles Online-Marktplatz gefunden wurde. Die von einem südkoreanischen Unternehmen betriebene Kampagne soll bis zu 36,5 Millionen Nutzer betreffen. Die fraglichen Apps generieren betrügerische Werbeklicks für ihre Entwickler. Einige der insgesamt 41 Apps blieben über mehrere Jahre hinweg unentdeckt im Play Store.

[mit Material von Matthew Broersma, Silicon.co.uk]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de