Microsoft hat eine neue Angriffsmethode auf Android-Apps entdeckt. Dirty Stream erlaubt es, Dateien im Stammverzeichnis einer anderen Android-App zu ändern. Unbefugte erhalten unter Umständen die Möglichkeit, beliebigen Code einzuschleusen und auszuführen, um beispielsweise Informationen zu stehlen.
Die Schwachstelle in Android basiert auf einer eigentlich nicht vorgesehen Nutzung des Content Provider System von Android. Darüber werden Zugriffe auf strukturierte Daten verwaltet, die sich mehrere Apps teilen. Das System beinhaltet verschiedene Sicherheitsmaßnahmen, darunter eine Datenisolierung, URI-Berechtigungen und die Prüfung von Dateipfaden.
Laut Microsoft ist es jedoch möglich, diese Sicherheitsmaßnahmen mit sogenannten Custom Intents zu umgehen. Dabei handelt es sich um Objekte, die der Kommunikation zwischen Komponenten von Android-Apps dienen. Dadurch soll es unter anderem möglich sein, ungeprüfte Dateinamen und Pfade für vertrauenswürdig zu erklären.
Dirty Stream erlaubt es letztlich, eine Datei mit einem manipulierten Dateinamen und/oder Pfad an eine andere App zu schicken. Die Ziel-App wird dazu gebracht, der Datei beziehungsweise dem Pfad zu vertrauen und die Datei zu speichern und auszuführen. Dadurch wird eine legitime Android-Funktion durch die Manipulation des Daten-Streams zwischen zwei Apps zu einer Angriffswaffe.
Microsofts Analyse zeigt auch, dass die fehlerhafte Implementierung des Content Provider System weit verbreitet ist. Der Microsoft-Mitarbeiter Dimitrios Valsamaras schätzt, dass die betroffenen Android-Apps mehr als 4 Milliarden Mal installiert wurden. Als Beispiele nannte er den Xiaomi Dateimanager mit mehr als einer Milliarde Installationen und die App WPS Office mit rund 500 Millionen Installationen.
Der Forschungsbericht zu Dirty Stream liegt inzwischen der Android Developer Community vor. Google hat nach eigenen Angaben seine Richtlinien zur App-Sicherheit überarbeitet und verweist nun auf häufige Implementierungsfehler des Content Provider System.
Das Risikoempfinden der Deutschen sinkt in drei Jahren um 12 Prozentpunkte. Außerdem ist die Wissenskompetenz…
Beide Protokolle gelten ab sofort als veraltet und werden nicht mehr weiterentwickelt. Der Support für…
Betroffen sind Chrome für Windows, macOS und Linux. Der schwerwiegendste Fehler steckt in der Komponente…
Ein Viertel der Entscheidungsträger in Politik und Verwaltung spricht sogar vom Fehlen jeglicher Abwehrbereitschaft. Die…
Der Anteil steigt der Vorfälle mit Datenverlusten steigt 2024 deutlich an. Einige Unternehmen melden nach…
60 Prozent der Deutschen befürworten, dass Onlinenutzer per Testament darüber verfügen, was im Todesfall mit…