Hinweis Android Bugs lassen Angreifer Malware ohne Vorwarnung installieren.

QuHno

Außer Betrieb
Forscher haben Fehler in Android, Googles Betriebssystem für Handies, offenbart, die es Angreifern ermöglicht, heimlich Malware auf den Anwender-Endgeräte zu installieren.

Der gravierendste Mangel der beiden entdeckten Lücken wurde am Mittwoch in einer Proof-of-Concept Anwendung demonstriert, die abgesegnet auf dem offiziellen Android Market zur Verfügung stand. Getarnt als eine Erweiterung für das populäre Spiel Angry Birds installierte sie lautlos drei zusätzliche Anwendungen, die ohne Vorwarnung Zugang zu den Telefon-Kontakten, den Standort-Informationen und der SMS-Funktionalität haben sowie ihre Daten auf einen entfernten Server übertragen können.

Es dauerte etwa sechs Stunden bis Google die Bogus Apps außer Verkehr zog, sagte Scio Security CTO Jon Oberheide, einer der beiden Forscher die diese Lücke entdeckten und diese Sicherheitsanfälligkeit ausnutzten. Es wird jedoch deutlich schwieriger werden, die besonderen Sicherheits-Token abzusichern, die der Internet Riese benutzt, um Android Benutzer zu authentifizieren, so dass Benutzer Passwörter nicht mehr dem Zugriff von Drittparteien Anbietern ausgesetzt werden. Der Proof-of-Conzept funktioniert durch die Nutzung Schwächen in diesem Android Token-System.

"(Diese Anwendung) missbraucht das selbe Token um die gleichen Aktionen wie eine legale App durchzuführen, aber ohne um Erlaubnis zu fragen", sagte Oberheide The Register. "Durch Teile unserer Forschungen erkannten wir, dass wir dieses eine spezifische Token für die Android-Services dazu benutzen können, die Beschränkungen des Zugriffssystems zu umgehen."

(...)

"Wir haben begonnen ein Update für dieses Problem auszuliefern, das für alle Android-Geräte gelten wird", sagte ein Google-Sprecher. "Wie immer empfehlen wir Anwendern, nur Programme zu installieren, denen sie vertrauen."

(...)

Die beiden jüngsten Angriffe "arbeiten ganz im Userspace und nutzen Schwächen in der Android-Plattform auf üblichen HTC Handys, um ihre Ziel zu erreichen", sagte Oberheide.

(Gekürzte Übersetzung, Quelle (en): TheRegister)


Da stellt sich dem geneigten Leser die Frage:
Wie kann ein Android User feststellen, dass er einer Anwendung trauen kann, wenn nicht einmal Google mit all seinen Entwicklern, Webgurus und Ingenieuren dazu in der Lage ist, eine App, die sie zur Inspektion bekommen haben (dafür muss der Source AFAIK offen gelegt werden), zu analysieren und die Benutzer vor solchen Bedrohungen zu schützen?
 

Anhänge

  • google-android.png
    google-android.png
    6,8 KB · Aufrufe: 172
Zuletzt bearbeitet von einem Moderator:
Oben