Android: Bug ermöglicht Apps Anrufe bei Premium-Diensten

Android Security (Bild: ZDNet.com)

Ein Fehler in Android erlaubt Apps bei Premium-Diensten anzurufen. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Einen Patch für die Schwachstelle enthält erst Android 4.4.4 KitKat. Allerdings weiß Google bereits seit Ende 2013 von der Lücke.

Eine Schwachstelle in Android ermöglicht Apps, auch ohne Erlaubnis durch den Nutzer Anrufe zu tätige. Einem Bericht von Computerworld zufolge hat das Berliner Sicherheitsunternehmen Curesec die Lücke entdeckt. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Die Lücke ist in der im Juni veröffentlichten Version 4.4.4 KitKat geschlossen worden.

Android Security (Bild: ZDNet.com)Wie Curesec erklärt, können Apps beispielsweise Premium-Dienste anrufen, ohne das eine Interaktion mit einem Nutzer stattgefunden hat. Zudem können laufende Telefonate beendet werden. Computerworld berichtet weiter, dass der Fehler die Sicherheitsbeschränkungen von Android umgehe. In der Regel können Apps ohne die Berechtigung “Call_Phone” keine Telefonnummern wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Auf diese Weise erhalten Nutzer auf bestimmte Funktionen oder Dienste des Mobilfunkanbieters.

“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blog. Der Fehler lässt sich dem Unternehmen zufolge auch nicht durch Tools beheben, die Berechtigungen einzelner Apps kontrollieren oder einschränken können.

Curesec stellt Nutzer eine Test-Anwendung zur Verfügung, die überprüft, ob das Gerät anfällig ist. Dabei versuche die App, die ungültige Rufnummer “31337” anzurufen.

Bereits Ende 2013 hat Curesec Google über die Schwachstelle informiert. Ein Patch hat der Konzern zwar mit Android 4.4.4 veröffentlicht, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. Zwar konnte sich KitKat auf 17,9 Prozent verbessern, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).
Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de