Die Sicherheitsforscher von Curesec haben in einigen Android-Versionen ein Sicherheitsleck entdeckt, das es Apps erlaubt ohne entsprechende Rechte Telefonnummern anzuwählen. Auch Steuerbefehle im Mobilfunknetz könnten damit versendet werden.
Google wurde Ende 2013 informiert
Die Ursache für die Sicherheitslücke findet sich im Code der Telefoniefunktionen, berichtet heise. Hier befinde sich die Klasse NotificationBroadcastReceiver im Status "exportiert", was laut einigen Entwicklern aber nicht der Fall sein dürfte. Die Sicherheitsforscher haben Google schon Ende 2013 informiert, ihre Entdeckung aber erst jetzt veröffentlicht.
Betroffen sind die Versionen Android 4.1.1 bis 4.4.2. In der aktuellsten Android-Version 4.4.4 soll der Fehler behoben worden sein.
Malware-Apps
Der Fehler könnte durch Malware-Apps ausgenutzt werden. So könnte etwa eine als Spiel getarnte App ohne Wissen des Nutzers teure Mehrwertnummern anrufen. Zudem könnten über USSD/SS/MMI-Codes Rufnummernumleitungen gesetzt, die Rufnummernunterdrückung aktiviert oder deaktiviert oder sogar die SIM-Karte blockiert werden. (red, derStandard.at, 9.7.2014)