Google warnt vor Xiaomi und liefert selbst Grund zur Sorge

Smartphonelücke und rechtgierige Apps

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

Angreifer konnten die Kamera-App von Smartphones über manipulierten Actions und Intents missbrauchen.
Angreifer konnten die Kamera-App von Smartphones über manipulierten Actions und Intents missbrauchen. (Bild: ©UA_PM - stock.adobe.com)

Das entbehrte nicht gewisser Ironie: Kurz nachdem Google Android-Nutzer offenbar vor einer besonders datenhungrigen App des chinesischen Smartphone-Herstellers Xiaomi warnte, ist der Internetriese selbst ins öffentliche Fadenkreuz geraten.

Wenn Apps unter Android auf Speicher, Sensoren oder Konten zugreifen wollen, benötigen sie in der Regel entsprechende Berechtigungen. Wieviele davon man den Herstellern von Geräten und Anwendungen zugestehen sollte, ist eine Vertrauensfrage über die sich trefflich streiten lässt. Einigkeit dürfte jedoch in einem Punkt herrschen: Je mehr Berechtigungen eine App besitzt, desto mehr potentiellen Schaden dürfte sie im Falle eines Falles anrichten.

Play Protect blockt App mit 55 Berechtigungen

Aus dieser Überlegung heraus ist kürzlich die auf Xiaomi-Smartphones vorinstallierte Systemanwendung „Quick Apps“ in den Fokus gerückt. Einem Bericht der Webseite Android Police zufolge, genehmigt sich das Programm über 55 Berechtigungen und damit Zugriff auf nahezu alle Daten und Komponenten mobiler Devices – beginnend bei SIM- und IMEI-Nummern bis hin zu Kameras und Mikrofonen.

Google habe darauf reagiert und die App bei einigen Nutzern über das Sicherheitssystem Play Protect geblockt. Xiaomi hält das offenbar für ein Versehen respektive False Positive. Einer auf Android Police zitierten Aussage des Unternehmens zufolge seien die „Quick Apps“ sicher, Googles Einstufung vermutlich auf einen angepassten Algorithmus von Play Protect zurückzuführen.

Schlecht Wetter für Google

Allzu sicher wähnen sollten sich Androidnutzer trotz Googles recht rigiden Durchgreifens in diesem Fall jedoch nicht, denn auch Play Protect und Android-Berechtigungssystem allein sind keine Garanten für ein absolut unangreifbares Smartphone. Das hat die jetzt von Checkmarx entdeckte Schwachstelle CVE-2019-2234 vorgeführt. Das Unternehmen für Application Security Testing hat herausgefunden: Selbst ohne entsprechende Rechte konnten feindliche Anwendungen bisher Videos, Bilder oder Töne aufnehmen und an entfernte Angreifer weiterleiten. Über die Metadaten hätten Angreifer damit auch Zugang zu den GPS-Daten des Gerätes gehabt.

Hierfür machten sich die Sicherheitsforscher Schwachstellen zunutze, die sie bei den Kameraanwendungen auf Pixel-Smartphones von Google sowie Samsung-Geräten nachweisen konnten. Eine Schadanwendung konnte die entsprechenden Foto-Apps über manipulierte Actions und Intents steuern. Um auf die gemachten Aufnahmen zuzugreifen hätte der Schadcode lediglich eine Leseberechtigung für den Speicher benötigt.

Als Machbarkeitsbeweis hat Checkmarx ein Demoprogramm erstellt, das sich als Wetterapp tarnt. In einem auf YouTube veröffentlichten Video ist zu sehen, wie ein entfernter Angreifer darüber aus ein fremdes Smartphone zugreifen kann – selbst wenn dessen Nutzer die Demoapp wieder schließt oder sein Mobiltelefon sperrt.

Wir haben bei beiden betroffenen Herstellern nachgefragt und bislang immerhin eine Antwort von Google erhalten. Über seine PR-Agentur ließ uns das Unternehmen mitteilen, dass die Schwachstellen der Google Camera Application per Play Store Update im Juli 2019 angegangen wurde. Zudem habe man alle Partner mit dem Patch versorgt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46256386 / Sicherheitslücken)