SMS-Phishing-Sicherheitslücke in Android
Wie Xuxian Jiang, Associate Professor der Computerwissenschaften an der staatlichen Universität von North Carolina mitteilt, habe man eine akute Sicherheitslücke in Android entdeckt, die SMS-Phishing-Angriffe ermöglicht. Davon betroffen sind alle Android-Varianten älter als 4.2.
Die Sicherheitslücke ermöglicht einer auf dem Smartphone installierten Anwendung das Platzieren gefälschter SMS im Posteingang. Um diese Sicherheitslücke auszunutzen, muss ein Angreifer den Benutzer also zunächst dazu bringen, eine bösartige Anwendung zu installieren. Anschließend kann er den Benutzer mit gefälschten SMS beispielsweise auf Phishing-Websites locken.
Exakte Informationen zu der Sicherheitslücke wollte die Universität aus Sicherheitsgründen nicht preisgeben. Abgesehen von Android 4.2, das über einen sogenannten Side-Load-Scanner verfügt, sind alle Versionen von Android ab 1.6 „Donut“ davon betroffen. Zu Demonstrationszwecken haben die Forscher ein Video eines solchen Angriffs auf YouTube zur Verfügung gestellt.
Die Sicherheitslücke ist Teil des „Android Open Source Project“ (AOSP), begrenzt sich also nicht auf eine bestimmte und angepasste Version von Android eines Herstellers oder eines Providers. Google wurde bereits davon in Kenntnis gesetzt und reagierte schon zehn Minuten später darauf mit einer Mitteilung, dass man bereits an einer Lösung arbeite und diese so schnell wie möglich verteilen wird. Dies betrifft aber vorerst nur Geräte der Nexus-Serie, also die mit einem sogenannten Vanilla-Android ausgestatteten Modelle, sodass Hersteller und Mobilfunkanbieter im Zugzwang sind, das Problem auch in ihren Versionen möglichst zeitnah zu beheben. Mit Blick auf die Update-Politik dieser Parteien sollten Anwender in der Zwischenzeit absolute Vorsicht beim Öffnen von SMS-Nachrichten walten lassen.