Der Kampf gegen Sicherheitslücken in Android-Geräten nimmt kein Ende. Ein Sicherheitsforscher hat Google bereits vor Monaten von einer neuen Bedrohung in Kenntnis gesetzt, die vor allem für Nutzern von Google Pay zu einem Problem werden könnte. Deswegen sollten Handy-Besitzer eine Funktion des Betriebssystem ausschalten.
Sicherheitslücke Android Beam: Hacker können Apps via NFC installieren
Schon Ende Januar hat Sicherheitsforscher Yakov Shafranovich Google über eine große Sicherheitslücke in der App Android Beam benachrichtigt. Die Applikation soll es seinen Nutzern eigentlich ermöglichen, unkompliziert Daten über NFC auszutauschen. Das Problem: Über die App können auch APK-Dateien, also Installationsdateien für Apps verschickt werden. Normalerweise verhindert Android ab Werk die Installation von Apps aus unbekannten Quellen und gibt eine entsprechende Warnung aus. Wer diese Einschränkung umgehen will, muss die entsprechende Option in den Einstellungen anwählen.
Was ist Android Beam? In unserem Video stellen wir euch einige praktische Funktionen des NFC-Dienstes vor:
Bei APKs, die über Android Beam unter Android 8, 9 oder 10 versendet werden, greift dieses System jedoch nicht. Die Apps können direkt installiert werden. Auf diese Weise können Hacker verseuchte Apps auf die Smartphones unwissender Opfer aufspielen. Der Installation muss zwar noch mit einem Tap zugestimmt werden, doch wenn die App entsprechend getarnt ist, könnten Nutzer denken, dass es sich hierbei lediglich um ein Update handelt.
Sicherheitslücke Android Beam: Das kann man dagegen tun
Die Sicherheitslücke wurde bereits mit dem Oktober-Sicherheitsupdate für Android geschlossen. Nutzer eines aktuellen Smartphones, die die Aktualisierung bereits aufgespielt haben, müssen sich also keine Sorgen machen. Für alle anderen Nutzer bieten sich zwei Lösungswege an:
- NFC vorerst deaktivieren, bis das Sicherheitsupdate zur Verfügung steht und installiert wurde.
- Android Beam die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren.
Ersteres dürfte für Nutzer von Google Pay oder anderen kontaktlosen Zahlmethoden nicht in Frage kommen. Google selbst stuft die Gefahr der Sicherheitslücke zwar als hoch ein, gleichzeitig sollte man sich ins Gedächtnis rufen, dass die Übertragung von Dateien über NFC nur über eine Distanz von wenigen Zentimetern realisiert werden kann. Die Angreifer müssen sich also in unmittelbarer Nähe befinden. Wie Heise berichtet, sei es aber auch möglich, ein Bezahlterminal entsprechend zu präparieren. Es ist also Vorsicht geboten.
