Startseite
Sie sind hier: Home > Digital > Smartphone & Tablet PC >

Android-Sicherheitslücke ermöglicht Manipulation von App-Symbolen

...
t-online.de ist ein Angebot der Ströer Content Group

Fieser Phishing-Trick  

Android-Sicherheitslücke ermöglicht Manipulation von App-Symbolen

16.04.2014, 13:49 Uhr | t-online.de

Android-Sicherheitslücke ermöglicht Manipulation von App-Symbolen. Android-Smartphones (Quelle: Hersteller/Montage)

Eine Sicherheitslücke erlaubt es schädlichen Apps, die Schnellstart-Symbole anderer Anwendungen auf dem Homescreen zu manipulieren. (Quelle: Montage/Hersteller)

Sicherheitsexperten der Firma FireEye haben eine Sicherheitslücke von Android aufgedeckt, die es Anwendungen erlaubt, App-Symbole auf dem Start-Bildschirm von Smartphones und Tablet-PCs zu manipulieren. So könnten Angreifer ihre Opfer auf Phishing-Seiten locken, ohne dass diese etwas davon mitbekommen. Google hat den Fehler zwar bereits behoben. Dennoch müssen die meisten Android-Nutzer noch auf das Sicherheits-Update warten.

Über die Schwachstelle können Kriminelle zum Beispiel das Symbol der Online-Banking-App so manipulieren, dass der nichtsahnende Nutzer beim Klick darauf auf einer Phishing-Seite landet, statt bei seiner Bank. Denkbar wäre auch, dass Hacker des Symbol einer vertrauten App heimlich mit einer Internetseite verknüpfen, die im Hintergrund Schadsoftware auf das Smartphone schmuggelt.

Um die Sicherheitslücke auszunutzen, müssen die Angreifer lediglich eine App in Googles Playstore zum Download anbieten, die über zwei Berechtigungen verfügt: Einstellungen lesen und Einstellungen verändern. Google stuft beide dieser Berechtigungen als unbedenklich ein, daher können die Angreifer sicher sein, dass keinerlei Warnhinweis bei der Installation ihres Trojanischen Pferdes erscheint.

UMFRAGE
Hatten Sie schon einmal mit schädlichen Apps auf Ihrem Smartphone/Tablet zu kämpfen?

Ist die vermeintlich harmlose App auf dem System, kann sie mithilfe der beiden Berechtigungen, die Einstellungen einer zuvor installierten App verändern und zu einem schädlichen Programm umfunktionieren.

Google Play winkt Trojaner durch

Die Tests der Forscher zeigten, dass diese Lücke unter allen ausprobierten Android-Versionen ausgenutzt werden konnte (Android 4.3, Android 4.4.2 und CyanogenMod 4.4.2). Auch ältere Versionen dürften von dem Problem betroffen sein.die problematische Handhabung der Berechtigungen seit Android 1.x vorhanden ist.

Die dafür eigens erstelle Malware-App und Phishing-Internetseite, die FireEye für die Tests nutzte, wurden direkt gelöscht. Googles Play Store legte der Veröffentlichung der nötigen, manipulierten App zuvor aber keine Steine in den Weg.

Berechtigungen wie der Zugriff auf die Kontakte stuft Android als gefährlich ein, der Nutzer muss diese vor der Installation genehmigen. Der Zugriff auf den Android-Launcher wird dagegen automatisch zugelassen. (Quelle: t-online.de/Screenshot)Hinweis auf "gefährliche" Berechtigungen bei der Installation einer App unter Android. (Quelle: t-online.de/Screenshot)

Digital 
So schützen Sie ihr Android-Smartphone

Tipps für die Sicherheit von Android-Smartphones. Video

Gefährliche Rechte als harmlos eingestuft

Auch harmlos wirkende Apps mit nur wenigen Berechtigungen können durch die neu entdeckte Schwachstelle Schaden anrichten. Android klassifiziert Berechtigungen, wie etwa die Erlaubnis den Standort des Nutzers abzufragen oder das Adressbuch auszulesen, in verschiedene Bedenklichkeitsstufen. Apps, die etwa die Privatsphäre des Nutzers verletzen könnten, gelten als "gefährlich" – der Nutzer muss deshalb bei der Installation explizit zustimmen, dass die App die geforderte Berechtigung erhält. Viele andere, vermeintlich harmlose Genehmigungen räumt Android automatisch ein.

Ein Fehler in der Einstufung von Berechtigungen kann daher verhängnisvoll sein. Die Berechtigung, ein Schnellstart-Symbol auf den Homescreen zu platzieren, stuft Android eigentlich als gefährlich ein. Die Möglichkeit jedoch, dass eine App auf den Startbildschirm den sogenannten Android-Launcher zugreift, wodurch sich solche Symbole ebenfalls platzieren, ändern oder löschen lassen, sieht Android als harmlos an. Deshalb räumt es diese Erlaubnis automatisch ein, wie die Sicherheitsexperten von FireEye in einem Blog-Eintrag berichten.

Google hat Patch bereits verteilt, andere Hersteller agieren träge

Die Sicherheitsexperten von FireEye informierten Google bereits im Oktober 2013 über ihre Entdeckung, wie das amerikanische Technik-Magazin Computerworld berichtet. Google habe den Fehler bereits im Februar durch ein Update beseitigt. Geräte der Nexus-Reihe, die Google selbst verkauft, sollten von diesem Problem daher nicht mehr betroffen sein.

Den entsprechenden Patch hat der Internetkonzern laut FireEye auch an seine OEM-Partner wie Samsung, HTC oder Sony ausgeliefert. Wann diese das Update an Endkunden weitergeben, ist allerdings noch unklar. Die meisten Smartphone-Hersteller verändern die Bedienoberfläche von Android und ergänzen das System mit eigenen Funktionen. Bevor ein Hersteller ein neues Android-Update ausliefern kann, muss er es daher stets an seine spezielle Version anpassen.

Auf Nachfrage von T-Online.de konnte Sony nichts zu einem geplanten Update sagen, versicherte aber, dass "im Sinne des Nutzerinteresses" gehandelt würde. HTC und Samsung konnten ebenfalls noch keinen Termin nennen.

Kein effektiver Schutz möglich

Einen effektiven Schutz gegen diese Sicherheitslücke gibt es nicht. Theoretisch ließe sich jede App auf diese Weise missbrauchen. Deshalb sollten Sie bei der Wahl neues Apps vorsichtig sein und App-Hersteller, die Ihnen zu unbekannt oder nicht vertrauenswürdig erscheinen meiden. Ebenso ist es ratsam, bis zur Auslieferung des Sicherheits-Updates keine Anwendungen auf Smartphone oder Tablet zu verwenden, die die Eingabe sensibler Daten erfordern – etwa Online-Banking-Apps.

Weitere spannende Digital-Themen finden Sie hier.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Ab 6 Uhr können Sie hier wieder wie gewohnt diskutieren. Wir danken für Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail


Anzeige
shopping-portal