Android-Fehler erleichtert Phishing-Attacken

16. April 2014, 10:13
21 Postings

Sicherheitsforscher warnen: Vermeintlich harmlose Apps können Shortcuts anderer Programme manipulieren

Mit dem Android-Berechtigungssystem will Google eigentlich schon vor der Installation offenlegen, welche Möglichkeiten Apps auf dem Smartphone oder Tablet künftig haben werden. Dieses Unterfangen ist allerdings nutzlos, wenn es ein Fehler erlaubt, diesen Schutzmechanismus zu unterwandern. Genau einen solchen Bug hat nun der Sicherheitsdienstleister FireEye aufgespürt.

Manipulation

Wie sich zeigt, können Apps auch dann Einträge von anderen Programmen am Startbildschirm verändern, wenn sie gar nicht die notwendigen Berechtigungen dafür besitzen. Dadurch wird es möglich, dass eine vermeintlich harmlose App Shortcuts anderer Programme manipuliert und auf andere Programme oder Webseiten umleitet - die Basis für eine Phishing-Attacke.

Hintergrund

Eigentlich müssen Apps, die solche Modifikationen vornehmen wollen, die Berechtigung INSTALL_SHORTCUT verlangen, die Google seit Android 4.2 als kritisch ansieht - und explizit davor warnt. Wie FireEye herausgefunden hat, reicht aber auch das Einholen der Berechtigungen READ_SETTINGS und WRITE_SETTINGS für den Launcher. Diese werden als harmlos eingestuft und entsprechend bei der Installation einer App nicht extra ausgewiesen.

Abwarten

FireEye hat das Problem bereits an Google gemeldet, wo auch bereits ein Patch entwickelt wurde, der den diversen Drittherstellern zur Verfügung steht. Angesichts der üblichen Update-Säumigkeit der Unternehmen könnte es aber noch länger brauchen, bis diese Verbesserung auch tatsächlich an die betroffenen Geräte ausgeliefert wird. (apo, derStandard.at, 16.4.14)

  • Eine Test-App von FireEye, die auf den ersten Blick harmlos wirkt, aber Shortcuts anderer Programme verändern kann.
    grafik: fireeye

    Eine Test-App von FireEye, die auf den ersten Blick harmlos wirkt, aber Shortcuts anderer Programme verändern kann.

Share if you care.