Android: Bug ermöglicht Apps Anrufe bei Premium-Diensten

Eine Schwachstelle in Android ermöglicht Apps, auch ohne Erlaubnis durch den Nutzer Anrufe zu tätige. Einem Bericht von Computerworld zufolge hat das Berliner Sicherheitsunternehmen Curesec die Lücke entdeckt. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Die Lücke ist in der im Juni veröffentlichten Version 4.4.4 KitKat geschlossen worden.

Wie Curesec erklärt, können Apps beispielsweise Premium-Dienste anrufen, ohne das eine Interaktion mit einem Nutzer stattgefunden hat. Zudem können laufende Telefonate beendet werden. Computerworld berichtet weiter, dass der Fehler die Sicherheitsbeschränkungen von Android umgehe. In der Regel können Apps ohne die Berechtigung “Call_Phone” keine Telefonnummern wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Auf diese Weise erhalten Nutzer auf bestimmte Funktionen oder Dienste des Mobilfunkanbieters.

“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blog. Der Fehler lässt sich dem Unternehmen zufolge auch nicht durch Tools beheben, die Berechtigungen einzelner Apps kontrollieren oder einschränken können.

Curesec stellt Nutzer eine Test-Anwendung zur Verfügung, die überprüft, ob das Gerät anfällig ist. Dabei versuche die App, die ungültige Rufnummer “31337” anzurufen.

Bereits Ende 2013 hat Curesec Google über die Schwachstelle informiert. Ein Patch hat der Konzern zwar mit Android 4.4.4 veröffentlicht, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. Zwar konnte sich KitKat auf 17,9 Prozent verbessern, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

24 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago