Heute mal wieder ein paar Informationen zum Thema Ärger mit der Android-Sicherheit. Google hat mal wieder 41 Apps wegen Malware-Befall aus dem Play Store geworfen. Und ein Fehler im Rechtemanagement ermöglicht Apps den Nutzer auszuspionieren.
Anzeige
41 Apps mit Judy-Malware infiziert
Die Sicherheitsspezialisten von Check Point haben mal wieder 41-Apps, die mit der Malware Judy verseucht waren, im Google Play Store entdeckt. Nachdem Google informiert wurde, hat man die Apps natürlich sofort entfernt. Entwickelt wurden die Apps von einer koreanischen Firma, die die Malware in den Apps nutzte, um Klicks auf Werbeanzeigen in Webseiten zu simulieren. Die Entwickler haben sich so Einnahmen gesichert. Die Apps scheinen zwischen 4,4 und 18,5 Millionen Downloads zu verzeichnen, wobei unklar ist, wie lange die Malware im Store verteilt wurde. Check Point hat den Fall in seinem Blog dokumentiert. Dort finden sich auch weitere Details und eine Liste der Apps. Nachtrag: Bei heise.de findet sich dieser deutschsprachige Beitrag zum Thema. (via)
Cloak and Dagger-Sicherheitslücke in App-Berechtigungen
Sicherheitsforscher der US-Universitäten Georgia Institute of Technology und der University of California sind auf eine Sicherheitslücke in den Android-App-Berechtigungen gestoßen. In diesem Beitrag dokumentieren Sie das Problem. Die Cloak and Dagger genannte Methode ermöglicht es Angreifern, Tastatureingaben abzufangen oder Apps mit beliebigen Rechten zu installieren.
Dazu werden zwei App-Berechtigungen Rechte SYSTEM_ALERT_WINDOW und BIND_ACCESSIBILITY_SERVICE missbraucht. Alle Apps erhalten standardmäßig diese Berechtigungen. SYSTEM_ALERT_WINDOW ermöglicht Apps unsichtbare Overlays über die Bedienoberfläche zu legen. Dies ermöglicht Warnmeldungen zu überdecken oder Tastatureingaben abzufangen. Über BIND_ACCESSIBILITY_SERVIC lassen sich von Apps unsichtbare Eingaben an Android tätigen. Dies ermöglicht es, Berechtigungen für Apps anzufordern und zu erteilen, ohne dass der Benutzer dies mitbekommt. Ein Update für bestehende Android-Versionen wird es nicht geben, das Problem wird erst in Android 0 gefixt. Details lassen sich in deutsch bei heise.de oder bei futurezone.at nachlesen.
Anzeige
Und genau da liegt das Problem (wie in anderen Beiträgen durch verschiedene User bereits angemerkt): Solange sich Hersteller (hier Google/Android) aus Ihrer Verantwortung stehlen (können), solange wird es keine bessere Sicherheit geben.
Es ist völlig inakzeptabel das millionen von Android Geräte mit Version 5, 6 und 7 ungepatcht bleiben sollen. Ein Skandal!
Diese Geräte sind weltweit im Einsatz und werden es auch noch für lange Zeit bleiben. Nicht jeder Heini rennt alle 6 Monate in den Laden um sich ein neues Handy oder Tablet zu kaufen. Die Update Philosophie von Google ist ohnehin ein Witz! Und ja, die starke Fragmentierung bla bla bla. Das ist richtig, aber durch Google verschuldet und hausgemacht! Es kann doch nicht sein, dass der Nutzer am Ende immer der Dumme ist.
Das Vorgehen mancher Hersteller ist grob fahrlässig und sollte entsprechend geahndet werden. Wo ist da eigentlich unsere so hoch gelobte EU? Über die Krümmung von Gurken und den Wasserverbrauch deutscher Toilettenspülungen wird schwadroniert. Bei den wirklich wichtigen Themen wie Datenschutz und Datensicherheit kommt nur heiße Luft oder gar nichts! Erbärmlich!