Android-Sicherheitslücke: Bösartige Apps erschleichen sich Berechtigungen
In Android ist eine Sicherheitslücke entdeckt worden, mit der bösartige Apps sich die Berechtigungen legitimer Apps erschleichen können. Aufgrund der willkürlichen Update-Politik der Android-Hersteller werden viele Geräte verwundbar bleiben, aber wer Apps ausschließlich aus dem Google Play Store bezieht, ist sicher.
Die Sicherheitslücke erlaubt Malware-Entwicklern das Modifizieren einer App ohne dabei deren kryptographische Signatur zu ändern. Anhand dieser Signatur verifiziert Android die Integrität und Authentizität einer App, so dass sich eine bösartige App durch Ausnutzen dieser Sicherheitslücke als legitime App tarnen kann. Die bösartige App verfügt dann über alle Berechtigungen der legitimen App und könnte so beispielsweise kostenpflichtige SMS versenden oder das Smartphone als Teil eines Botnetz für illegale Aktivitäten missbrauchen.
Die Sicherheitslücke betrifft Android ab Version 1.6 und ist im Februar an Google gemeldet worden. Das einzige derzeit immune Android-Gerät sei das Samsung Galaxy S4. Google arbeite an einem Patch, der außerhalb der eigenen Nexus-Serie aufgrund der willkürlichen Update-Politik der Hersteller von Android-Smartphones und -Tablets aber keine nennenswerte Verbreitung erreichen dürfte – jüngst kündigte HTC an, für das nur ein Jahr alte One S keine weiteren Updates zu veröffentlichen.
Um Opfer dieser Sicherheitslücke zu werden, muss der Anwender dazu gebracht werden, eine bösartige App zu installieren. Auch wenn eine solche App bei der Installation nur unkritische Berechtigungen anfordert, kann sie sich anhand der Sicherheitslücke die einer anderen App erteilten Berechtigungen erschleichen. Wer Apps ausschließlich aus dem Google Play Store bezieht, ist auf der sicheren Seite, da Google dort diejenigen Apps gesperrt hat, welche die Sicherheitslücke ausnutzen. Auf das Installieren von Apps aus alternativen App Stores oder aus unbekannter Herkunft sollten Nutzer verwundbarer Android-Versionen jedoch bis auf Weiteres verzichten. Wer keinen Patch von seinem Hersteller erwartet, der sollte die Installation einer alternativen Android-Firmware wie CyanogenMod in Betracht ziehen.