{"id":225652,"date":"2019-12-04T03:08:09","date_gmt":"2019-12-04T02:08:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225652"},"modified":"2024-06-12T23:47:44","modified_gmt":"2024-06-12T21:47:44","slug":"ungepatchte-android-schwachstelle-strandhogg-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/04\/ungepatchte-android-schwachstelle-strandhogg-ausgenutzt\/","title":{"rendered":"Ungepatchte Android-Schwachstelle StrandHogg ausgenutzt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/12\/04\/unpatched-android-vulnerability-strandhogg-exploited\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Schlechte Nachrichten f\u00fcr Android-Nutzer, die viele Apps sammeln. Es gibt eine ungepatchte Android-Schwachstelle mit dem Namen StrandHogg. Diese wird bereits durch sch\u00e4dliche Apps ausgenutzt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/5b44f4fd26ae45579d9fc452b3f38dc4\" width=\"1\" height=\"1\"\/>Ich bin bereits gestern auf diese Schwachstelle \u00fcber nachfolgenden Tweet aufmerksam geworden. Berichte gibt es auch auf <a href=\"https:\/\/thehackernews.com\/2019\/12\/strandhogg-android-vulnerability.html\" target=\"_blank\" rel=\"noopener noreferrer\">The Hacker News<\/a> und bei <a href=\"https:\/\/www.heise.de\/security\/meldung\/StrandHogg-Fehler-im-Multitasking-von-Android-koennte-Malware-Tuer-und-Tor-oeffnen-4603005.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Android: New StrandHogg vulnerability is being exploited in the wild<\/p>\n<p>&gt; Promon has identified a new Android OS vulnerability<br \/>&gt; Lookout confirmed that 36 apps have used it in the wild<br \/>&gt; StrandHogg affects all Android OS versions<a href=\"https:\/\/t.co\/SVqzGNctAR\">https:\/\/t.co\/SVqzGNctAR<\/a> <a href=\"https:\/\/t.co\/m72ddNzkoZ\">pic.twitter.com\/m72ddNzkoZ<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1201531543841333248?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>StrandHogg nutzt eine L\u00fccke im Android-Multitasking-Mechanismus, um Berechtigungen zu umgehen. Eine Schad-App kann sich so tarnen und Berechtigungen anfordern, von denen der Nutzer nichts ahnt. Entdeckt wurde die StrandHogg genannte Sicherheitsl\u00fccke von Sicherheitsforschern von promon, die das <a href=\"https:\/\/web.archive.org\/web\/20220130210531\/https:\/\/promon.co\/security-news\/strandhogg\/\" target=\"_blank\" rel=\"noopener noreferrer\">Ganze hier beschreiben<\/a>. Die Schwachstelle ist ein echter Hammer:<\/p>\n<ul>\n<li>Alle Versionen von Android, inkl. Android 10, sind betroffenen, es gibt keinen Patch.  <\/li>\n<li>Grunds\u00e4tzlich sind alle 500 der popul\u00e4rsten Android-Apps gef\u00e4hrdet.  <\/li>\n<li>Es gibt bereits Malware, die die Schwachstelle ausnutzt.  <\/li>\n<li>Es wurden 36 b\u00f6sartige Apps, die die Schwachstelle ausnutzen, wurden identifiziert.  <\/li>\n<li>Die Schwachstelle kann ohne Root-Zugriff ausgenutzt werden.<\/li>\n<\/ul>\n<p>Der Permission Harvesting Exploit ist nur ab Android 6.0 (aber bis Android 10) m\u00f6glich. Wenn eine sch\u00e4dliche App auf dem Android-Ger\u00e4t installiert wird, kann diese \u00fcber StrandHogg:<\/p>\n<ul>\n<li>den Benutzer \u00fcber das Mikrofon abh\u00f6ren.  <\/li>\n<li>Fotos durch die Kamera aufnehmen  <\/li>\n<li>SMS-Nachrichten lesen und senden  <\/li>\n<li>Telefongespr\u00e4che f\u00fchren und\/oder aufzeichnen  <\/li>\n<li>Anmeldeinformationen abgreifen  <\/li>\n<li>Zugriffe auf alle privaten Fotos und Dateien auf dem Ger\u00e4t ausf\u00fchren  <\/li>\n<li>Standort und GPS-Informationen abrufen  <\/li>\n<li>Zugriff auf die Kontaktliste erhalten  <\/li>\n<li>Zugriff auf Telefonprotokolle erhalten<\/li>\n<\/ul>\n<p>Also quasi der Super-GAU, denn durch die Schwachstelle kann Schadcode alle Berechtigungen f\u00fcr Apps, die in Android gesetzt sind, umgehen. <\/p>\n<p>Lookout, ein Partner von Promon, best\u00e4tigte, dass sie 36 b\u00f6sartige Anwendungen identifiziert haben, die die Schwachstelle bereits ausnutzen. Darunter befanden sich auch Varianten des bereits 2017 beobachteten BankBot-Bank-Trojaners. W\u00e4hrend des Tests fanden Promon-Forscher heraus, dass alle 500 beliebtesten Apps (im Ranking der App Intelligence Company 42 Matters) f\u00fcr StrandHogg anf\u00e4llig sind. <\/p>\n<p>Die einzige gute Nachricht: Der Benutzer muss die App mit dem Schadcode selbst installieren, damit diese StrandHogg ausnutzen kann. Wer also nur wenige Apps aus vertrauensw\u00fcrdigen Quelle aus dem Google Play Store bezieht, sollte halbwegs sicher sein. <\/p>\n<p>Allerdings ist davon auszugehen, dass Dropper-Apps schon bald im Play Store auftauchen. Diese laden dann den Schadcode zum Ausnutzen von StrandHogg nach. Und Malware, die bereits auf Android-Ger\u00e4ten vom Hersteller \u00fcber vorinstallierte Apps ausgeliefert wird, k\u00f6nnte StrandHogg nutzen. Der nachfolgende Tweet weist auf einen Artikel hin, der sich mit entsprechenden Downloadern befasst.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Check out this article: The Role of Evil Downloaders in the Android Mobile Malware Kill Chain <a href=\"https:\/\/t.co\/SrXMymbM1h\">https:\/\/t.co\/SrXMymbM1h<\/a><\/p>\n<p>\u2014 Aryeh Goretsky (@goretsky) <a href=\"https:\/\/twitter.com\/goretsky\/status\/1201569188923551746?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Schlechte Nachrichten f\u00fcr Android-Nutzer, die viele Apps sammeln. Es gibt eine ungepatchte Android-Schwachstelle mit dem Namen StrandHogg. Diese wird bereits durch sch\u00e4dliche Apps ausgenutzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328],"class_list":["post-225652","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225652"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225652\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}