Android-Sicherheitslücke ermöglicht Manipulation von App-Symbolen

Schlagzeilen

Alle

Umweltverbände scheitern mit Klage

Oscar Pistorius ist frei – erste Bilder

Konserven: bedenkliches Testergebnis

Preiserhöhung bei Netflix

FC Bayern will wohl Spieler vom Meister

Stadt verlangt ab heute Eintritt

Ex-Freund von Prinzessin Beatrice ist tot

Autohersteller droht die Insolvenz

74-Jährige überfällt Bank mit Pistole

Gagen-Ranking bei TV-Show löst Frust aus

Heidi Klum zeigt sich ungeschminkt

FC Bayern: Star könnte Klub verlassen

Zugreise durch Deutschland – jetzt spielen

Alle Schlagzeilen anzeigen

Fieser Phishing-Trick
Android-Sicherheitslücke ermöglicht Manipulation von App-Symbolen

Von t-online

16.04.2014Lesedauer: 3 Min.

Eine Sicherheitslücke erlaubt es schädlichen Apps, die Schnellstart-Symbole anderer Anwendungen auf dem Homescreen zu manipulieren. (Quelle: Montage/Hersteller-bilder)

News folgen

Sicherheitsexperten der Firma FireEye haben eine Sicherheitslücke von Android aufgedeckt, die es Anwendungen erlaubt, App-Symbole auf dem Start-Bildschirm von Smartphones und Tablet-PCs zu manipulieren. So könnten Angreifer ihre Opfer auf Phishing-Seiten locken, ohne dass diese etwas davon mitbekommen. Google hat den Fehler zwar bereits behoben. Dennoch müssen die meisten Android-Nutzer noch auf das Sicherheits-Update warten.

Über die Schwachstelle können Kriminelle zum Beispiel das Symbol der Online-Banking-App so manipulieren, dass der nichtsahnende Nutzer beim Klick darauf auf einer Phishing-Seite landet, statt bei seiner Bank. Denkbar wäre auch, dass Hacker des Symbol einer vertrauten App heimlich mit einer Internetseite verknüpfen, die im Hintergrund Schadsoftware auf das Smartphone schmuggelt.

Smartphone-Neuheiten

+14

Um die Sicherheitslücke auszunutzen, müssen die Angreifer lediglich eine App in Googles Playstore zum Download anbieten, die über zwei Berechtigungen verfügt: Einstellungen lesen und Einstellungen verändern. Google stuft beide dieser Berechtigungen als unbedenklich ein, daher können die Angreifer sicher sein, dass keinerlei Warnhinweis bei der Installation ihres Trojanischen Pferdes erscheint.

Ist die vermeintlich harmlose App auf dem System, kann sie mithilfe der beiden Berechtigungen, die Einstellungen einer zuvor installierten App verändern und zu einem schädlichen Programm umfunktionieren.

Google Play winkt Trojaner durch

Die Tests der Forscher zeigten, dass diese Lücke unter allen ausprobierten Android-Versionen ausgenutzt werden konnte (Android 4.3, Android 4.4.2 und CyanogenMod 4.4.2). Auch ältere Versionen dürften von dem Problem betroffen sein.die problematische Handhabung der Berechtigungen seit Android 1.x vorhanden ist.

Die dafür eigens erstelle Malware-App und Phishing-Internetseite, die FireEye für die Tests nutzte, wurden direkt gelöscht. Googles Play Store legte der Veröffentlichung der nötigen, manipulierten App zuvor aber keine Steine in den Weg.

Gefährliche Rechte als harmlos eingestuft

Auch harmlos wirkende Apps mit nur wenigen Berechtigungen können durch die neu entdeckte Schwachstelle Schaden anrichten. Android klassifiziert Berechtigungen, wie etwa die Erlaubnis den Standort des Nutzers abzufragen oder das Adressbuch auszulesen, in verschiedene Bedenklichkeitsstufen. Apps, die etwa die Privatsphäre des Nutzers verletzen könnten, gelten als "gefährlich" – der Nutzer muss deshalb bei der Installation explizit zustimmen, dass die App die geforderte Berechtigung erhält. Viele andere, vermeintlich harmlose Genehmigungen räumt Android automatisch ein.

Ein Fehler in der Einstufung von Berechtigungen kann daher verhängnisvoll sein. Die Berechtigung, ein Schnellstart-Symbol auf den Homescreen zu platzieren, stuft Android eigentlich als gefährlich ein. Die Möglichkeit jedoch, dass eine App auf den Startbildschirm den sogenannten Android-Launcher zugreift, wodurch sich solche Symbole ebenfalls platzieren, ändern oder löschen lassen, sieht Android als harmlos an. Deshalb räumt es diese Erlaubnis automatisch ein, wie die Sicherheitsexperten von FireEye in einem Blog-Eintrag berichten.

Google hat Patch bereits verteilt, andere Hersteller agieren träge

Die Sicherheitsexperten von FireEye informierten Google bereits im Oktober 2013 über ihre Entdeckung, wie das amerikanische Technik-Magazin Computerworld berichtet. Google habe den Fehler bereits im Februar durch ein Update beseitigt. Geräte der Nexus-Reihe, die Google selbst verkauft, sollten von diesem Problem daher nicht mehr betroffen sein.

Den entsprechenden Patch hat der Internetkonzern laut FireEye auch an seine OEM-Partner wie Samsung, HTC oder Sony ausgeliefert. Wann diese das Update an Endkunden weitergeben, ist allerdings noch unklar. Die meisten Smartphone-Hersteller verändern die Bedienoberfläche von Android und ergänzen das System mit eigenen Funktionen. Bevor ein Hersteller ein neues Android-Update ausliefern kann, muss er es daher stets an seine spezielle Version anpassen.

Auf Nachfrage von T-Online.de konnte Sony nichts zu einem geplanten Update sagen, versicherte aber, dass "im Sinne des Nutzerinteresses" gehandelt würde. HTC und Samsung konnten ebenfalls noch keinen Termin nennen.

Kein effektiver Schutz möglich

Einen effektiven Schutz gegen diese Sicherheitslücke gibt es nicht. Theoretisch ließe sich jede App auf diese Weise missbrauchen. Deshalb sollten Sie bei der Wahl neues Apps vorsichtig sein und App-Hersteller, die Ihnen zu unbekannt oder nicht vertrauenswürdig erscheinen meiden. Ebenso ist es ratsam, bis zur Auslieferung des Sicherheits-Updates keine Anwendungen auf Smartphone oder Tablet zu verwenden, die die Eingabe sensibler Daten erfordern – etwa Online-Banking-Apps.

Apple-Präsentation am 9. September: Test-Video zum iPhone 6 sorgt für Aufsehen

Deutschlandweiter Markstart: Walkman-Smartphone Sony Xperia E1 bei Aldi

Streamingdienst: Netflix erhöht seine Preise auch für Bestandskunden

Weitere spannende Digital-Themen finden Sie hier.