Phishing-Lücke in Android behoben

Andre Borbe,

Die Phishing-Lücke befindet sich in allen Android-Versionen ab 1.x. App-Symbole auf dem Homescreen können unbemerkt von einer schädlichen Anwendung manipuliert werden. Dafür benötigt sie nur die Zugriffsrechte der Stufe “normal”. Diese erhalten alle Apps automatisch.

Google hat eine Sicherheitslücke geschlossen die in allen Android-Versionen ab 1.x enthalten ist. Diese kann eine schädliche App ausnutzen, um die Symbole anderer Anwendungen auf dem Homescreen zu ersetzen. Dadurch könnten Nutzer zu eine Phishing-Website oder Malware umgeleitet werden. Die Schwachstelle hat das Sicherheitsunternehmen FireEye entdeckt.

Dabei ist das Problem FireEye zufolge, dass nur Zugriffsrechte (“com.android.launcher.permission.READ_SETTINGS” und “com.android.launcher.permissions.WRITE_SETTINGS”) der Stufe “normal” für das Lesen und Schreiben von Einstellungen im Android-Launcher benötigt werden. Diese Berechtigungsstufe erhält allerdings jede App bei der Installation automatisch. Dafür muss der Nutzer nicht explizit zustimmen.

Die Screenshots einer Test-App von FireEye belegen, dass Android als "normal" eingestufte Zugriffsrechte bei der Installation nicht anzeigt (Bild: FireEye).
Die Screenshots einer Test-App von FireEye belegen, dass Android als “normal” eingestufte Zugriffsrechte bei der Installation nicht anzeigt (Bild: FireEye).

“FireEye hat herausgefunden, dass einige der als ‘normal’ eingestuften Zugriffsrechte gefährliche Auswirkungen auf die Sicherheit haben können”, heißt es in einer Pressemitteilung des Unternehmens. “Mit ‘normalen’ Berechtigungen können schädliche Apps legitime Icons auf dem Android-Homescreen durch Fälschungen ersetzen, die direkt zu Phishing-Apps oder -Websites führen.”

Mit Android 4.2 habe Google eine Hintertür in diesem Zusammenhang geschlossen. Seitdem habe die Berechtigung zum Erstellen von Programmverknüpfungen nicht mehr die Stufe “normal” sondern “gefährlich”. Nutzer erhalten somit vor der Installation einen Hinweis und müssen dem zustimmen. Die Zugriffsrechte für das Einfügen und Modifizieren würde seit Android 1.x allerdings durchgängig als “normal” klassifiziert.

“Eine schädliche App mit diesen beiden Zugriffsrechten kann die Icon-Einstellungen des Systems abfragen, ergänzen und ändern und dann legitime Icons von sicherheitsrelevanten Apps – wie zum Beispiel Banking-Apps – zu einer Phishing-Website umleiten. FireEye hat einen solchen Angriff auf einem Nexus 7 mit Android 4.4.2 erfolgreich durchgeführt”, beschreibt FireEye die Schwachstelle. “Außerdem verhindert Google Play die Veröffentlichung dieser App nicht, und es gibt keinerlei Warnhinweise, wenn ein Nutzer sie herunterlädt und installiert.”

Nach Angaben des Unternehmens sind nicht nur Android-Geräte mit dem Original-Launcher des Android Open Source Project (AOSP) betroffen. Auch mit einem Nexus 7 mit CyanogenMod 4.4.2 oder einem Samsung Galaxy S4 mit Android 4.3 sowie dem HTC One mit Android 4.4.2 lasse sich die Schwachstelle ausnutzen.

Google habe die Schwachstelle inzwischen bestätigt und einen Patch an die OEM-Partner herausgegeben, so FireEye weiter. Viele Anbieter von Android-Geräten seien aber in der Vergangenheit sehr träge bei Sicherheitsupdates gewesen. “FireEye rät Anbietern dringend, Sicherheitslücken schneller mit Patches zu beheben, um ihre Kunden zu schützen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de