Sicherheitslücke

Warum Android-Berechtigungen Hackern Tür und Tor öffnen

| Redakteur: Margit Kuther

Android-Berechtigungen: Einfallstor für Hacker
Android-Berechtigungen: Einfallstor für Hacker (Bild: Gerd Altmann)

Das Android-Berechtigungskonzept ermöglicht bösartigen Apps das Mitlesen des Datenverkehrs. Warum das so ist und wie Sie sich schützen können, verrät Trend Micro.

Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking-Team ausgesetzt waren und es zum Teil immer noch sind.

Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben.

Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen.

Der Schädling kommt durch die Hintertür

Die betroffene „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen.

Im Detail heißt das: Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, ist aber nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen.

Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.

Um die Sicherheitsprüfungen im Google-Play-Store zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt.

Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Bedienkomfort versus Sicherheit

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Store hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Tücken des Android-Berechtigungskonzepts

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern.

Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte.

Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Datenschutz versus Privacy

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten.

Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Weitere Details zur gefälschten Nachrichten-App aus dem Hacking-Team-Fundus sind im deutschen Blog von Trend Micro abrufbar.

Spionageangriff auf Deutschland und Israel

Cyberkriminalität

Spionageangriff auf Deutschland und Israel

30.03.15 - Der IT-Sicherheitsspezialist Trend Micro deckt Angriffe auf deutsche und israelische Unternehmen auf und vermutet den Iran als Auftraggeber der „Operation Woolen-Goldfish“. lesen

Geld und Ideen ziehen Hacker an

Cyberkriminalität

Geld und Ideen ziehen Hacker an

02.12.14 - Der deutschen Wirtschaft geht es gut. Ins Visier von Hackern, Mitbewerbern und Produktfälschern, die Wirtschaftsspionage betreiben, rücken vermehrt mittelständische Unternehmen. lesen

Bedarf an Sicherheitssoftware wächst

Gartner-Studie

Bedarf an Sicherheitssoftware wächst

29.05.15 - Mit einem Plus von 5,3 Prozent hat der Markt für Sicherheitslösungen im Jahr 2014 etwas stärker zugelegt als noch 2013. Gewachsen sind laut Gartner vor allem Anwendungen im Bereich der Enterprise-Security. Consumer-Lösungen und Endpoint-Protection-Software stagnierten dagegen oder verzeichneten Rückgänge. lesen

Das Internet der Dinge – eine lockende Spielwiese für Hacker

Datensicherheit

Das Internet der Dinge – eine lockende Spielwiese für Hacker

02.06.15 - Was bedeutet es für die Sicherheit im Alltag, wenn alle Systeme miteinander verbunden sind? Welche Auswirkungen hat das auf die Sicherheit von Unternehmen? Ein Plädoyer für einen Paradigmenwechsel. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43523152 / Mobile Security)