Android-Apps können ohne Rechte telefonieren

9. Juli 2014, 13:40
41 Postings

Sicherheitsforscher haben Fehler im Code einiger Android-Versionen entdeckt

Die Sicherheitsforscher von Curesec haben in einigen Android-Versionen ein Sicherheitsleck entdeckt, das es Apps erlaubt ohne entsprechende Rechte Telefonnummern anzuwählen. Auch Steuerbefehle im Mobilfunknetz könnten damit versendet werden.

Google wurde Ende 2013 informiert

Die Ursache für die Sicherheitslücke findet sich im Code der Telefoniefunktionen, berichtet heise. Hier befinde sich die Klasse NotificationBroadcastReceiver im Status "exportiert", was laut einigen Entwicklern aber nicht der Fall sein dürfte. Die Sicherheitsforscher haben Google schon Ende 2013 informiert, ihre Entdeckung aber erst jetzt veröffentlicht.

Betroffen sind die Versionen Android 4.1.1 bis 4.4.2. In der aktuellsten Android-Version 4.4.4 soll der Fehler behoben worden sein.

Malware-Apps

Der Fehler könnte durch Malware-Apps ausgenutzt werden. So könnte etwa eine als Spiel getarnte App ohne Wissen des Nutzers teure Mehrwertnummern anrufen. Zudem könnten über USSD/SS/MMI-Codes Rufnummernumleitungen gesetzt, die Rufnummernunterdrückung aktiviert oder deaktiviert oder sogar die SIM-Karte blockiert werden. (red, derStandard.at, 9.7.2014)

  • Curesec hat einen Fehler im Code einiger Android-Versionen gefunden, der es Apps ohne entsprechende Rechte erlaubt Rufnummern zu wählen.
    foto: curesec

    Curesec hat einen Fehler im Code einiger Android-Versionen gefunden, der es Apps ohne entsprechende Rechte erlaubt Rufnummern zu wählen.

Share if you care.