Sicherheitslücke in Android erlaubt Änderungen oder Tausch von Apps
Bis zur Hälfte der Android-Geräte sind gegen diese Sicherheitslücke verwundbar, die eine Übernahme des Smartphones von Angreifern ermöglicht.
Sicherheitsexperten vom Palo Alto Netzwerk veröffentlichten diese Lücke, mit der es Hackern möglich ist, das Verhalten von Android zu verändern. Damit kann eine legitime App verändert oder gegen eine andere App ausgetauscht werden. Dies funktioniert nur bei Apps, die nicht über Google-Play installiert werden, oder wenn der Benutzer auf eine Werbeanzeige klickt.
Die Sicherheitslücke zum Entführen des Android-Installers heißt auch „Time of check to time of use” (TOCTOU).
Der Sicherheitsexperte Zhi Xu:
“Die Schwachstelle besteht im Prozess. Während der Benutzer die Install-Informationen prüft, kann ein Angreifer die App verändern oder gar austauschen.” Der Installer verifiziert die App-Dateien zum Zeitpunkt der Verwendung nicht. Nach dem Klick des Installieren-Buttons kann eine komplett andere Anwendung mit gänzlich anderen Benutzerrechten installiert werden.
Ein Szenario, um diese Sicherheitslücke auszunutzen, könnte folgendermaßen aussehen: Ein Benutzer klickt auf eine gutartig aussehende App. Jedoch wird nach dem Akzeptieren der Installabfrage Malware installiert. Ebenso ist es möglich, die wahren Benutzerrechte der App zu verschleiern.
Die Sicherheitslücke ist ab der Android-Version 4.3_r0.9 gepatcht. Android 4.3 bleibt verwundbar und laut Goolge-Statistik sind 49,9 Prozent der Android-Geräte davon betroffen. Palo Alto veröffentliche eine Scanner-App “Installer Hijacking Scanner”, mit der die Verwundbarkeit ausgetestet werden kann.
Siehe auch:
- Google behebt Sicherheitslücken in älteren Versionen von Android OS nicht
- Google Android OS mit Sicherheitslücke
- Android-Apps im Google Play Store sammeln heimlich Kryptowährungen
- Android-Geräte weiterhin ohne Patch
- Android-Botnet zielt auf Kunden in Nahost ab
- Ransomware greift Android-Geräte an
- Ransomware bedroht Android-User
- HijackRAT zielt auf Banking-Apps auf Android-Geräten ab
- Android-Ransomware Koler verbreitet sich nun via SMS
- Bösartige Android-App stiehlt Daten
Artikel von arstechnica.com, 25.03.2015: Android hijacking bug may allow attackers to install password-stealers
Artikel von thehill.com, 24.03.2015: Android flaw could expose half of all users, firm warns