Suchen

Sicherheitslücke Warum Android-Berechtigungen Hackern Tür und Tor öffnen

| Redakteur: Margit Kuther

Das Android-Berechtigungskonzept ermöglicht bösartigen Apps das Mitlesen des Datenverkehrs. Warum das so ist und wie Sie sich schützen können, verrät Trend Micro.

Firma zum Thema

Android-Berechtigungen: Einfallstor für Hacker
Android-Berechtigungen: Einfallstor für Hacker
(Bild: Gerd Altmann)

Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking-Team ausgesetzt waren und es zum Teil immer noch sind.

Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben.

Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen.

Der Schädling kommt durch die Hintertür

Die betroffene „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen.

Im Detail heißt das: Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, ist aber nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen.

Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.

Bildergalerie

Um die Sicherheitsprüfungen im Google-Play-Store zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt.

Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Bedienkomfort versus Sicherheit

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Store hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Tücken des Android-Berechtigungskonzepts

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern.

Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte.

Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Datenschutz versus Privacy

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten.

Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Weitere Details zur gefälschten Nachrichten-App aus dem Hacking-Team-Fundus sind im deutschen Blog von Trend Micro abrufbar.

(ID:43518990)