Zwei Android-Lücken lassen Angreifer Apps installieren

11. November 2010, 12:13
3 Postings

Über vermeintlichen "Angry Birds Bonus Level" in Falle gelockt - Android 2.2 schließt eines der Sicherheitslecks

Von Sicherheitsexperten wurden nun zwei Lücken in Googles mobilem Betriebssystem Android entdeckt. Durch diese ließen sich Anwendungen - ohne Nachfrage beim Besitzer - von Angreifern installieren. Damit bestehe etwa die Gefahr, dass sogenannte "Dialer" oder spionierende Apps ungewollt am Handy landen.

Android 2.2 behebt Fehler

Der Angriff funktioniere über den "user mode", ein Angriff auf den Linux-Kernel finde dabei nicht statt. Die Lücke entdeckte ein Sicherheitsexperte auf einem HTC Legend mit Android, das Problem: der vorinstallierte Internetbrowser besitzt die Rechte zur Installation von Paketen. Hersteller HTC habe diese Rechte hinzugefügt, sodass sich das Flash Lite Plugin selbstständig aktualisieren könne. Die Lücke ist bereits seit vergangenem August bekannt. 

Das Sicherheitsleck befinde sich ausschließlich unter Android 2.1, Version 2.2 sei nicht mehr anfällig darauf. 

"Angry Birds Bonus Level" als Falle

Ein weiteres Sicherheitsloch entdeckte Android-Experte Jon Oberheide. Über den Account-Manager generierte Oberheide einen Authentifizierungs-Token für den Android Market um so eigenständig Apps installieren zu können. Dazu bedürfe es allerdings einer zuvor installierten, manipulierten App. Das stelle allerdings kein Problem dar, Oberheide stellte dafür einen angeblichen Bonus Level für das Spiel "Angry Birds" am Marketplace zum Download bereit. Das vermeintliche Spiel installierte dann die drei Anwendungen: "Fake Toll Fraud", "Fake Contact Stealer" und "Fake Location Tracker". (pd)

Der WebStandard auf Facebook

  • Bild nicht mehr verfügbar

    Das HTC Legend mit Android 2.1 hielt als Versuchskanninchen her.

Share if you care.