Android: Sicherheitslücke ermöglicht heimliche App-Installation

Peter Drimal

Sicherheitsforscher zeigen Sicherheitslücken in Android auf, die eine Installation von Apps ohne Bestätigung durch den User ermöglichen. Betroffen sind Geräte mit bis Android 2.1

Sicherheitsexperten haben eine neue Lücke in Google´s Smartphone-Betriebssystem Android aufgezeigt. Demnach gelang es zwei verschiedenen Personen unabhängig voneinander auf verschiedenem Weg Apps auf dem Gerät zu installieren, ohne die Zustimmung des Benutzers einzuholen.

Der Angreifer braucht zur Ausnutzung der Sicherheitslücke nicht einmal Zugriff auf den Linux-Kernel von Android. Die Ausnutzung der Paket-Installationsrechte des integrierten Browser reichen im ersten Fall aus, um ohne Wissen des Benutzers weitere Pakete installieren zu können – beispielsweise kostenverursachende Dialer oder Spionage-Tools. Zwar ist die Sicherheitslücke wohl schon seit August 2010 bekannt und auch in der neuen Version 2.2 (Froyo) behoben, allerdings läuft derzeit noch der Großteil der Android-Smartphones mit einer älteren Version.

In einem weiteren Fall ist es Android-Experten Jon Oberheide gelungen, den Account-Manager dazu auszunutzen, unbemerkt Apps aus dem Android-Marktet zu installieren. Dazu sei lediglich die vorherige Installation einer präparierten Software notwendig. Diese muss  der User zwar bestätigen – mit entsprechendem Titel bzw. ansprechender Beschreibung gelingt diess aber relativ problemlos.

Inzwischen sind durch Oberheide zu Demonstrationszwecken manipulierten Apps zwar aus dem Android-Markt entfernt – die Gefahr durch Neuzugänge bleibt aber weiter präsent.

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz