Android-Apps können heimlich bei Premium-Diensten anrufen

MobileMobile OSSicherheitSicherheitsmanagement
Android Malware (Bild: ZDNet)

Möglich ist das aufgrund einer Sicherheitslücke in Android 4.1.x und neuer. Google ist der Fehler schon seit Ende 2013 bekannt. Lediglich bei Android 4.4.4 wurde die Schwachstelle jedoch bisher behoben. Eine Test-App erlaubt Nutzer zu prüfen, ob ihr Smartphone betroffen ist.

Das Berliner Sicherheitsunternehmen Curesec hat eine Schwachstelle in Android gefunden, aufgrund der Apps ohne Genehmigung des Nutzer Anrufe tätigen können. Die Schwachstelle findet sich erstmals in Android 4.1.x, steckt aber auch in den Folgeversionen. Lediglich die im Juni verfügbar gewordene Version 4.4.4 von Android enthält den Fehler nicht mehr, wie Computerworld berichtet.

Das Berliner Unternehmen Curesec hat eine Sicherheitslücke gefunden, über die Android-Apps heimlich bei Premium-Diensten anrufen können.

Laut Curesec kann eine App nicht nur ohne Interaktion mit dem Nutzer einen Premium-Dienst anrufen, es sei auch möglich, ein laufendes Telefonat zu beenden. Normalerweise dürften Apps ohne die Berechtigung “Call_Phone” nicht in der Lage sein, Telefonnummern zu wählen. Der Fehler macht aber genau das möglich.

Er lässt sich auch ausnutzen, um sogenannte USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben und beginnen mit “*” und enden mit “#”.Sie ermöglichen Zugriff auf bestimmte Funktionen oder Dienste eines Mobilfunkanbieters.

“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-Chef Marco Laux. Er weist zudem darauf hin, dass Tools, mit denen sich Berechtigungen einzelner Apps kontrollieren oder einschränken lassen, den Fehler nicht beheben.

Nutzern stellt Curesec eine Test-Anwendung zur Verfügung, mit der sie prüfen können, ob ihr Gerät betroffen ist. Die App versucht dazu, die ungültige Rufnummer “31337” anzurufen. Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests der ITespresso-Schwestersite ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen.

Curesec hat Google bereits Ende 2013 über die Schwachstelle informiert. Bei Android 4.4.4 liegt inzwischen ein Patch vor, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Allerdings ließ dieser sich nur durch eine manipulierte App ausnutzen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Download zu diesem Beitrag:

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen