Anfälliger PackageInstaller

Android Apps unbekannter Herkunft manipulierbar

| Redakteur: Stephan Augsten

Über den Android-PackageInstaller ist es möglich, APK-Dateien durch andere Apps zu ersetzen.
Über den Android-PackageInstaller ist es möglich, APK-Dateien durch andere Apps zu ersetzen. (Bild: Palo Alto Networks)

Im Android-Systemdienst PackageInstaller wurde eine Schwachstelle gefunden. Gefahr besteht nur, wenn der Android-Nutzer eine APK-Datei unbekannter Herkunft installiert. In der Geräteverwaltung müssen also Apps aus unbekannten Quellen zugelassen sein. Bei App-Installationen über Google Play besteht keine Gefahr.

Der Sicherheitsspezialist Palo Alto Networks meldet eine weit verbreitete Sicherheitslücke im Android-Betriebssystem von Google. Diese findet sich im sogenannten PackageInstaller und erlaubt es, dem Anwender vorzugaukeln, er installiere eine legitime Android-Anwendung mit eingeschränkten Berechtigungen.

Zunächst muss das Gerät aber erst einmal einem entsprechenden Exploit anheim gefallen sein. Danach lassen sich sämtliche APK-Installationen kapern, die über unbekannte Quellen ausgeführt werden. Der Angreifer kann die Anwendung also durch eine App seiner Wahl ersetzen, ohne dass der Android-Nutzer etwas davon mitbekommt.

Die fälschlich installierte App kann anschließend potenziell auf die Dienste und Daten, einschließlich persönlicher Informationen und Passwörter, in vollem Umfang zugreifen. Legitime Anwendungen von Google Play stellen keine Gefahr dar, da sie über einen gesonderten, abgesicherten Bereich installiert werden.

Unit 42, das Bedrohungsanalyse-Team von Palo Alto Networks, hat bereits mit Google und Android sowie Geräteherstellern wie Samsung und Amazon an der Lösung des Problems gearbeitet. Patches sollen die Sicherheitsanfälligkeit in den betroffenen Versionen von Android künftig beheben.

Einige ältere Android-Versionen könnten leider anfällig bleiben, warnt die Unit 42. Deshalb haben die Sicherheitsexperten ihrerseits eine Vulnerability Scanner App entwickelt, mit der sich anfällige Geräte identifizieren lassen.

Palo Alto Networks empfiehlt Unternehmen, die besorgt über die Gefahr durch Malware auf Android-Geräten sind, die folgenden Maßnahmen:

  • Auf potenziell anfälligen Geräten nur Apps über Google installieren.
  • Mobile Geräte mit Android 4.3_r0.9 und späteren Versionen einsetzen. (Wobei bei einigen Android-4.3-Geräten ebenfalls diese Sicherheitsanfälligkeit festgestellt wurde.)
  • Keine Apps verwenden, die auf Logcat zugreifen. Logcat ist ein Systemprotokoll, das verwendet werden kann, um die Ausnutzung der Schwachstelle zu vereinfachen und zu automatisieren. Android 4.1 und spätere Versionen von Android-Anwendungen verbieten standardmäßig den Zugriff auf Logcat im System und anderen installierten Apps. Aber eine installierte App könnte es immer noch schaffen, den Zugang zu Logcat auf anderen Apps auf gerooteten mobilen Geräten mit Android 4.1 oder späteren Versionen zu erhalten.

Zu guter Letzt warnt Palo Alto Networks noch davor, geschäftlichen Nutzern zu gestatten, gerootete Geräte im Firmennetz zu verwenden. Dies ist aber eher als allgemeingültige Warnung zu verstehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43277791 / Mobile Security)