Microsoft hat eine neue Angriffsmethode auf Android-Apps entdeckt. Dirty Stream erlaubt es, Dateien im Stammverzeichnis einer anderen Android-App zu ändern. Unbefugte erhalten unter Umständen die Möglichkeit, beliebigen Code einzuschleusen und auszuführen, um beispielsweise Informationen zu stehlen.
Die Schwachstelle in Android basiert auf einer eigentlich nicht vorgesehen Nutzung des Content Provider System von Android. Darüber werden Zugriffe auf strukturierte Daten verwaltet, die sich mehrere Apps teilen. Das System beinhaltet verschiedene Sicherheitsmaßnahmen, darunter eine Datenisolierung, URI-Berechtigungen und die Prüfung von Dateipfaden.
Laut Microsoft ist es jedoch möglich, diese Sicherheitsmaßnahmen mit sogenannten Custom Intents zu umgehen. Dabei handelt es sich um Objekte, die der Kommunikation zwischen Komponenten von Android-Apps dienen. Dadurch soll es unter anderem möglich sein, ungeprüfte Dateinamen und Pfade für vertrauenswürdig zu erklären.
Dirty Stream erlaubt es letztlich, eine Datei mit einem manipulierten Dateinamen und/oder Pfad an eine andere App zu schicken. Die Ziel-App wird dazu gebracht, der Datei beziehungsweise dem Pfad zu vertrauen und die Datei zu speichern und auszuführen. Dadurch wird eine legitime Android-Funktion durch die Manipulation des Daten-Streams zwischen zwei Apps zu einer Angriffswaffe.
Microsofts Analyse zeigt auch, dass die fehlerhafte Implementierung des Content Provider System weit verbreitet ist. Der Microsoft-Mitarbeiter Dimitrios Valsamaras schätzt, dass die betroffenen Android-Apps mehr als 4 Milliarden Mal installiert wurden. Als Beispiele nannte er den Xiaomi Dateimanager mit mehr als einer Milliarde Installationen und die App WPS Office mit rund 500 Millionen Installationen.
Der Forschungsbericht zu Dirty Stream liegt inzwischen der Android Developer Community vor. Google hat nach eigenen Angaben seine Richtlinien zur App-Sicherheit überarbeitet und verweist nun auf häufige Implementierungsfehler des Content Provider System.
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…
Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…