Hälfte aller Android-Geräte von Schwachstelle betroffen

Android Logo (Bild: Google)

Der Fehler erlaubt das Austauschen von Apps beim Herunterladen. Zudem können sich Anwendungen beliebige Berechtigungen verschaffen. Die Schwachstelle betrifft insbesondere ältere Versionen als Android 4.3_r0.9. Downloads aus Google Play sind nicht gefährlich.

Eine Sicherheitslücke in Android ermöglicht es Angreifern, die Installation einer Android-Paketdatei (APK) zu übernehmen und sie durch eine beliebige App zu ersetzen. Davor warnt Palo Alto Networks. Von solch einer Attacke bekommen Nutzer nichts mit. Eine zusätzliche Genehmigung benötigen die ausgetauschten Apps ebenfalls nicht. Allerdings trifft dies nur auf Downloads aus alternativen Android-App-Marktplätzen zu – nicht aus Google Play.

Die Schwachstelle findet sich Palo Alto zufolge in etwa 49,5 Prozent aller Android-Geräte. Google und diverse Geräte-Hersteller von Amazon bis Sony wissen über den Fehler Bescheid. Vor allem ist Hardware mit einer älteren Version als Android 4.3_r0.9 anfällig. Die Lücke betrifft allerdings auch einige Android-4.3-Geräte. Auf GitHub sowie in Google Play stellt Palo Alto eine Anwendung zur Verfügung, die ermittelt, ob ein Gerät betroffen ist.PackageInstaller-Lücke (Grafik: Palo Alto Networks)

Aus der Beschreibung des Sicherheitsunternehmens geht hervor, dass der Fehler im Android-Systemdienst PackageInstaller steckt. Über diesen können sich Angreifer auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. Beispielsweise können sie auf diese Weise, Nutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen lassen, obwohl die App in Wirklichkeit vollen Zugriff auf alle Dienste und Daten erhält, einschließlich persönlicher Daten und von Passwörtern.

Entdeckt hat die Schwachstelle der Forschr Xu Zhi von Unit 42, dem Bedrohungsanalyse-Team von Palo Alto Networks. Sein Team rät, Apps nur aus Google Play herunterzuladen. Dieser Marktplatz stellt einen geschützten Raum bereit, der durch Angreifer nicht überschrieben werden kann.

Außerdem sollten grundsätzlich keine Apps genutzt werden, die die Berechtigung erfordern, auf Logcat zuzugreifen. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern ermöglicht, Angriffe auf die Schwachstelle zu automatisieren.

Android 4.1 und später verbieten den Zugriff auf Logcat standardmäßig. Auf gerooteten Android-Geräten kann es laut Palo Alto aber gelingen, auch unter Android ab Version 4.1 auf Logcat zuzugreifen. Daher empfiehlt es Unternehmen, keine gerootete Enderäte in ihrem Netzwerk zuzulassen.

 

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de