Android: Lücke im PackageInstaller erlaubt Installation von Malware
Das IT-Security-Unternehmen Palo Alto Networks hat Details zu einer verbreiteten Schwachstelle in Android bekannt gegeben. Sie erlaubt Angreifern in Googles Betriebssystem die Installation einer Android-Anwendung – der Android-Paketdatei (APK) – zu kapern und durch eine App ihrer Wahl zu ersetzen. Voraussetzung ist allerdings, dass der Download nicht bei Google Play, sondern bei einem alternativen Android-App-Marktplatz stattfindet. Der Angriff kann vom Benutzer unbemerkt und ohne dessen Zutun durchgeführt werden.
Von der Sicherheitslücke sind laut Palo Alto http://www.paloaltonetworks.com etwa 49,5 Prozent der Android-Geräte betroffen. Sie ermöglicht es Angreifern, Malware zu verteilen, Geräte zu kompromittieren und Benutzerdaten zu stehlen. Palo Alto Networks bietet bei Github und im Google Play Store eine Anwendung an, die Android-Nutzern hilft dabei hilft festzustellen, ob ihre Geräte betroffen sind.
Die vom Palo-Alto-Experten Xu Zhi entdeckte Schwachstelle steckt im Android-Systemdienst “PackageInstaller”. Angreifer können sich darüber auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. Dadurch ist es ihnen zu Beispiel möglich, Benutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen zu lassen, während sie die App tatsächlich vollen Zugriff auf alle Dienste und Daten auf dem Gerät des Benutzers, einschließlich persönlicher Daten und Passwörter, erlangen kann.
Palo Alto Networks hat sowohl Google als auch die Android-Entwickler und Gerätehersteller bereits informiert, die die Lücke durch Patches in den betroffenen Versionen von Android beheben. Mobile Geräte mit einer älteren Version als Android 4.3_r0.9 können anfällig bleiben. Und auch bei einigen Android-4.3-Geräten wurde die Schwachstelle festgestellt.
Nutzern und Unternehmen empfiehlt Palo Alto Networks auf potenziell anfälligen Geräten nur Software-Anwendungen von Google zu installieren. Sie werden in einen geschützten Raum heruntergeladen, der durch den Angreifer nicht überschrieben werden kann.
Außerdem sollten keine Apps mit der Berechtigung auf Logcat zuzugreifen genutzt werden. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern erleichtern kann, die Schwachstelle auszunutzen beziehungsweise dies automatisiert zu tun. Android 4.1 und spätere Versionen von Android-Anwendungen verbieten den Zugriff auf Logcat im System und anderen installierten Apps standardmäßig. Einer installierten App könnte es laut Palo Alto dennoch gelingen, auf Logcat auf anderen Apps auf gerooteten mobilen Geräten mit Android 4.1 oder späteren Versionen zuzugreifen. Daher sollten es nach Ansicht des Herstellers Unternehmen Anwendern nicht gestatten, gerootete Geräte im Unternehmensnetzwerk einzusetzen.