Android-Sicherheitslücke: Unbemerkte Aufnahme von Fotos und Videos möglich

Tuan Le 26

Als ob es nicht schon genug mehr oder minder gute Gründe für die allgemeine Sicherheits-Paranoia unter Smartphone-Nutzern gäbe, hat der Entwickler Szymon Sidor nun eine besonders Besorgnis erregende Sicherheitslücke unter Android entdeckt. Wie er eindrucksvoll anhand seines eigenen Google Nexus 5 demonstrierte, ist es theoretisch möglich, ohne Erlaubnis Fotos und Videos mit dem Gerät zu schießen und auf einen privaten Server hochzuladen. Besonders heimtückisch: Der Nutzer des Gerätes bemerkt von dem Vorgang nichts.

Android-Sicherheitslücke: Unbemerkte Aufnahme von Fotos und Videos möglich

Entwickler sind bekanntlich sehr einfallsreich, wenn es um das Lösen von Problemen geht: Die für Szymon Sidor wichtige Fragestellung war, wie man ohne Wissen des Nutzers auf die Kamera eines Gerätes zugreifen könnte, natürlich ganz im Sinne der Wissenschaft. Bekanntlich gibt es bei Laptop-Kameras eine leuchtende LED, die jegliche Aktivität der Kamera umgehend signalisieren sollte – zumindest im Idealfall. Unter Android gibt es eine ähnliche Vorrichtung, allerdings in digitaler Funktion: Dort wird vom Betriebssystem die Anzeige einer Vorschau der Kamera gefordert. Wird dem Nutzer also nicht auf dem Bildschirm angezeigt, was eigentlich fotografiert beziehungsweise gefilmt wird, kann kein Foto geschossen werden.

Der von Sidor durchgeführte Trick ist ebenso genial wie einfach - er reduzierte die Größe der Vorschau auf einen einzigen Pixel, wodurch diese vom Nutzer nicht mehr zu sehen ist. Ebenso ließ Sidor die App als Hintergrunddienst laufen, um die Anzeige in der Multitasking-Ansicht zu verhindern. Auf die Idee kam er durch die Facebook Chatheads, die ebenfalls nicht als App in der Multitasking-Ansicht gezeigt wurden, selbst bei aktivem Chat-Fenster.

Nachdem die technische Grundlage gegeben worden war, erübrigte sich das Einrichten eines passenden Interface für die Spionage als Standardwerk. Ohne weiteres konnte der Entwickler in vorgegebenen Zeitintervallen nun Fotos mit dem Nexus 5 schießen und unmittelbar auf einen privaten Server hochladen - selbst bei ausgeschaltetem Display. Nicht nur diverse Aktivitäten können dank der Sicherheitslücke mit der Kamera ohne Wissen des Besitzers festgehalten werden, sondern auch dessen aktueller Standort. Sofern der Nutzer durch einen hohen Akkuverbauch misstrauisch wird, kann die Aufnahme von Fotos und Videos von NSA-Mitarbeitern kriminellen Hackern gegebenenfalls unterbrochen werden, eine Anzeige von Akkustand und Datenverbrauch liefert das Interface des Entwicklers ebenfalls.

Bilderstrecke starten
6 Bilder
In 6 Schritten „Ok Google“ deaktivieren oder aktivieren.

Was man gegen die Sicherheitslücke tun kann

Eine wirkliche Lösung für das Problem gibt es im Moment leider noch nicht, es gilt wie immer einen genaueren Blick darauf zu werfen, was man auf dem Smartphone installiert und welche Berechtigungen angefordert werden. Vor allem bei Applikationen, die eigentlich keinen Zugriff auf die Kamera benötigen, sollte man im Moment besonders vorsichtig sein. Selbst dann ist man aber nicht völlig sicher vor dem Exploit, da bei gestohlenen Zugangsdaten auch von fremden Rechnern eine entsprechende App installiert werden könnte. Um dies zu verhindern, empfiehlt es sich die Bestätigung in zwei Schritten für den Google Account zu aktivieren.

dubiose-berechtigungen

Auch die Überprüfung von im Hintergrund laufenden Diensten sowie des Akku- und Datenverbrauchs empfiehlt sich, um Malware rechtzeitig erkennen zu können. Man sollte zudem im Hinterkopf behalten, dass eine Anwendung nicht beendet wird, sobald sie aus der Multitasking-Ansicht verschwindet - bei verdächtigen Apps kann man in den Einstellungen ein Beenden erzwingen, sofern man diese nicht gleich von dem Smartphone verbannen möchte. Zu hoffen ist, dass Google diese Sicherheitslücke mit dem Update auf Android 4.4.3 beseitigen wird.

Beenden-erzwingen

Seid ihr durch die Sicherheitslücke beunruhigt worden? Oder installiert ihr ohnehin nur vertrauenswürdige Apps ohne weitreichende Berechtigungen? Sagt es uns wie immer in den Kommentaren.

Quelle: Snacksforyourmind Blog [via phoneArena]

Zu den Kommentaren

Kommentare zu dieser News

* Werbung