Suchen

Anfälliger PackageInstaller Android Apps unbekannter Herkunft manipulierbar

| Redakteur: Stephan Augsten

Im Android-Systemdienst PackageInstaller wurde eine Schwachstelle gefunden. Gefahr besteht nur, wenn der Android-Nutzer eine APK-Datei unbekannter Herkunft installiert. In der Geräteverwaltung müssen also Apps aus unbekannten Quellen zugelassen sein. Bei App-Installationen über Google Play besteht keine Gefahr.

Firmen zum Thema

Über den Android-PackageInstaller ist es möglich, APK-Dateien durch andere Apps zu ersetzen.
Über den Android-PackageInstaller ist es möglich, APK-Dateien durch andere Apps zu ersetzen.
(Bild: Palo Alto Networks)

Der Sicherheitsspezialist Palo Alto Networks meldet eine weit verbreitete Sicherheitslücke im Android-Betriebssystem von Google. Diese findet sich im sogenannten PackageInstaller und erlaubt es, dem Anwender vorzugaukeln, er installiere eine legitime Android-Anwendung mit eingeschränkten Berechtigungen.

Zunächst muss das Gerät aber erst einmal einem entsprechenden Exploit anheim gefallen sein. Danach lassen sich sämtliche APK-Installationen kapern, die über unbekannte Quellen ausgeführt werden. Der Angreifer kann die Anwendung also durch eine App seiner Wahl ersetzen, ohne dass der Android-Nutzer etwas davon mitbekommt.

Die fälschlich installierte App kann anschließend potenziell auf die Dienste und Daten, einschließlich persönlicher Informationen und Passwörter, in vollem Umfang zugreifen. Legitime Anwendungen von Google Play stellen keine Gefahr dar, da sie über einen gesonderten, abgesicherten Bereich installiert werden.

Unit 42, das Bedrohungsanalyse-Team von Palo Alto Networks, hat bereits mit Google und Android sowie Geräteherstellern wie Samsung und Amazon an der Lösung des Problems gearbeitet. Patches sollen die Sicherheitsanfälligkeit in den betroffenen Versionen von Android künftig beheben.

Einige ältere Android-Versionen könnten leider anfällig bleiben, warnt die Unit 42. Deshalb haben die Sicherheitsexperten ihrerseits eine Vulnerability Scanner App entwickelt, mit der sich anfällige Geräte identifizieren lassen.

Palo Alto Networks empfiehlt Unternehmen, die besorgt über die Gefahr durch Malware auf Android-Geräten sind, die folgenden Maßnahmen:

  • Auf potenziell anfälligen Geräten nur Apps über Google installieren.
  • Mobile Geräte mit Android 4.3_r0.9 und späteren Versionen einsetzen. (Wobei bei einigen Android-4.3-Geräten ebenfalls diese Sicherheitsanfälligkeit festgestellt wurde.)
  • Keine Apps verwenden, die auf Logcat zugreifen. Logcat ist ein Systemprotokoll, das verwendet werden kann, um die Ausnutzung der Schwachstelle zu vereinfachen und zu automatisieren. Android 4.1 und spätere Versionen von Android-Anwendungen verbieten standardmäßig den Zugriff auf Logcat im System und anderen installierten Apps. Aber eine installierte App könnte es immer noch schaffen, den Zugang zu Logcat auf anderen Apps auf gerooteten mobilen Geräten mit Android 4.1 oder späteren Versionen zu erhalten.

Zu guter Letzt warnt Palo Alto Networks noch davor, geschäftlichen Nutzern zu gestatten, gerootete Geräte im Firmennetz zu verwenden. Dies ist aber eher als allgemeingültige Warnung zu verstehen.

(ID:43277791)