Android: Schwachstelle erlaubt Schad-Apps Zugriff auf persönliche Daten
Wissenschaftler der University of California Riverside um Zhiyun Qian und der University of Michigan um Qi Alfred Chen haben eine neue Sicherheitslücke in Android entdeckt. Darüber können schädliche Apps unter Umständen auf persönliche Daten zuzugreifen. Bei Googles Gmail-App gelang den Forschern das unter Ausnutzung der Anfälligkeit in 92 Prozent der Fälle.
Der Fehler nutzt eine Tatsache aus, die Android mit anderen Mobilbetriebssystemen gemeinsam hat: Alle Anwendungen können auf den gemeinsamen Speicher eines Mobilgeräts zugreifen. Obwohl sie ihren Angriff nur unter Android getestet haben, gehen die Wissenschaftler davon aus, dass auch iOS und Windows Phone betroffen sind.
“Die Annahme war immer, dass diese Apps sich ohne Weiteres nicht gegenseitig behindern können”, sagte Zhiyun Qian, Professor an der University of California Riverside. “Wir zeigen, dass diese Annahme falsch ist und eine App tatsächlich erheblichen Einfluss auf eine andere haben kann, was ernste Konsequenzen für den Nutzer haben kann.”
Ihren Angriff haben die Forscher am Beispiel einer vermeintlich harmlosen Anwendung – einem Hintergrundbild – demonstriert, die jedoch Schadcode enthält. Nach der Installation konnten die Forscher die App benutzen, um auf die Speicherstatistiken aller Prozesse zuzugreifen. Dafür wird ihnen zufolge keine besondere Berechtigung erfordert – ein Problem, dass auch andere Sicherheitsexperten bereits kritisiert haben.
Danach beobachteten sie die Veränderungen im gemeinsamen Speicher. Die Änderungen ordneten sie Aktivitäten zu, beispielsweise einer Anmeldung bei Gmail, oder dem Fotografieren eines Schecks, um ihn Online bei der US-Bank Chase einzureichen. Dabi waren sie in 82 bis 92 Prozent der Fälle erfolgreich. Mithilfe weiterer Techniken waren sie sogar in der Lage, die Aktivitäten eines Nutzers unmittelbar zu überwachen.
Allerdings muss der Angriff auf eine Android-App genau in dem Moment stattfinden, in dem der Nutzer eine bestimmte Aktion ausführt. Außerdem müsse er so durchgeführt werden, dass der Nutzer nichts davon merke, ergänzten die Forscher. Beides sei ihnen allerdings durch eine sorgfältige Abstimmung gelungen.
“Wir wissen, dass sich der Nutzer in der Banking-App befindet, und wenn er oder sie sich anmeldet, dann fügen wir einen identischen Log-in-Bildschirm ein”, sagte Qi Alfred Chen, Doktorand an der University of Michigan. “Das geschieht nahtlos, da wir den zeitlichen Ablauf genau kennen.”
Um sich vor den Folgen der Schwachstelle zu schützen, empfehlen die Forscher Nutzern, nur Anwendungen aus vertrauenswürdigen Quellen zu installieren. Zudem sollten sich Nutzer die Berechtigungen, die Apps einfordern, genau anschauen.
Details zu ihrer Untersuchung (PDF) wollen die Forscher morgen auf dem Usenix Security Symposium in San Diego bekannt geben. Die Ausnutzung der Schwachstelle zeigt Qi Alfred Chen zudem anhand mehrerer Videos in seinem Youtube-Channel.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de