Fraunhofer-Institut entdeckt schwere Sicherheitslücken in Security-Apps für Android
Weltweit könnten nach Schätzungen der Experten des Fraunhofer SIT, die die Schwachstellen entdeckt haben, bis zu 675 Millionen Geräte betroffen sein. Die Apps lassen sich über die Sicherheitslücken missbrauchen, um Smartphones unter Umständen komplett zu übernehmen.
Gravierende Schwachstellen in gängigen Sicherheits-Apps für Android Smartphones haben jetzt Spezialisten vom Fraunhofer-Institut für Sichere Informationstechnologie SIT entdeckt. Darunter befinden sich auch solche von Avira, Kaspersky, McAfee, Eset und Clean Master Security. Angreifer könnten die Sicherheitslücken ausnutzen, um aus der Security-App ein Angriffswerkzeug zu machen und mit dessen Hilfe das Smartphone zu übernehmen. 675 Millionen Geräte sollen laut Michael Waidner, Leiter des Fraunhofer SIT, davon weltweit betroffen sein.
Angreifer können auf den Geräten etwa die Schutzfunktion der Sicherheits-App unentdeckt vom Anwender abschalten. Sie können auch auf private Daten aus Adressbuch oder Kalender zugreifen. “Im schlimmsten Fall lässt sich die Sicherheits-App in Ransomware verwandeln, mit deren Hilfe Verbrecher zum Beispiel das Handy sperren, um vom Smartphone-Besitzer Lösegeld zu erpressen”, so die Sicherheitsforscher.
Die Experten vom Fraunhofer-Institut haben insgesamt sieben Sicherheits-Apps für Android-Smartphones unter die Lupe genommen: AndroHelm Antivirus, Avira Antivirus Security for Android, CM Security von Cheetahmobile, Eset Mobile Security & Antivirus, Kaspersky Internet Security for Android, Malwarebytes Anti Malware sowie McAfee (Intel Security) Security & Power Booster free. In sämtlichen getesteten Produkten wurden Anfälligkeiten aufgedeckt, allerdings handelte es sich um unterschiedliche Fehler mit unterschiedlichen Auswirkungen. Alle lassen sich aus der Ferne ausnutzen. Die Fraunhofer-Forscher haben Details zu den einzelnen Lücken auf der Website des Instituts veröffentlicht (PDF).
“Wir haben die Hersteller umgehend über die Sicherheitslücken informiert. Die überwiegende Mehrheit hat sofort reagiert und die Sicherheitslücken geschlossen”, erklärt Waidner in einer Pressemitteilung. “Auf Smartphones, auf denen die Apps automatisch Updates aus den App-Stores herunterladen, sind die Sicherheitsprobleme behoben. Sofern Nutzer keine automatische Updatefunktion aktiviert haben, sollten sie die eigenen Apps umgehend aktualisieren, um sich vor möglichen Angriffen zu schützen.”
Der Update-Mechanismus für die Virensignaturen ist Ursache für viele der Anfälligkeiten. Die Apps prüfen – beziehungsweise prüften – hier laut Fraunhofer SIT nicht ausreichend die Integrität des Updates. “Ist der Kanal, durch den das Update heruntergeladen wird, angegriffen worden, kann Code nach dem Man-in-the-Middle Prinzip eingeschleust werden“, so Waidner. “Eine einfache Methode hierbei ist ein Angriff über ein öffentliches WLAN. Gelingt einem Hacker der Zugriff über einen solchen öffentlichen Zugang, dann können alle Benutzer der Sicherheits-App, die denselben öffentlichen Zugang nutzen, zum Opfer eines solchen Angriffs werden.”
Mit CodeInspect hat das Fraunhofer SIT auf der CeBIT 2016 ein Werkzeug für die Qualitätskontrolle von Android-Apps speziell für Unternehmen vorgestellt. Sicherheitslücken und Malware lassen sich damit im kompilierten Programmcode besonders schnell aufspüren. Mit CodeInspect können laut Fraunhofer SIT selbst unbekannte Software oder Software-Anteile schnell und effizient untersucht werden, da es den Programmcode “in eine für Menschen verständliche Sprache” übersetzt. Zudem lässt sich die analysierte Software mit dem Tool auch verändern und im laufenden Betrieb beobachten.
CodeInspect setzt auf dem Eclipse-Framework auf und eignet sich zur Analyse aller Android-Versionen. Die Software läuft auf Windows, Linux sowie Mac OS und wurde bereits vor der Vorstellung im März von mehreren Unternehmen und Software-Analysten getestet. Interessierten Unternehmen bietet das Fraunhofer SIT eine kostenlose Teststellung an.
[Mit Material von Peter Marwan, silicon.de]