Android: Löchriger als Emmentaler Käse

2. April 2015, 07:58
  • security
  • android
  • lücke
image

Security-Anbieter Modzero zeigt, wie sich eine Malware-App als legitime Android-App ausgibt.

Security-Anbieter Modzero zeigt, wie sich eine Malware-App als legitime Android-App ausgibt.
Überwachen und abgreifen: Tobias Ospelt vom Schweizer Sicherheitsspezialisten Modzero zeigte diese Woche eine App mit eingebetteter Schadsoftware für Googles Android, welche die schlimmsten Albträume Realität werden lässt. Demonstriert wurde das am monatlichen Afterwork Event der Security Interest Group Switzerland (SIGS) in Zürich.
Das Problem von Android
Fehlende Abschottung von User-Interface-Elementen ist eine gängige aber keine gute Ausgangslage. Android stellt APIs zur Verfügung, welche das jederzeitige Zeichnen von User-Interface-Elementen auf den Bildschirm erlauben. Aufgrund der fehlenden gegenseitigen Abschottung kann sich der Benutzer nie sicher sein, mit welcher App er gerade interagiert. Das kann dann eben eine Malware-App sein, die sich als legitime App ausgibt.
Die Auswirkung
Eine auf dem Smartphone oder Tablet installierte App mit Schadcode kann Eingabemasken anderer Apps überlagern. Das gilt für Social-Media-Apps wie Skype, Facebook Messenger und WhatsApp genauso wie für Banking- und Enterprise Apps. Für den Benutzer ist das Eingabefenster der Schadcode-App nicht vom Eingabefenster der echten App zu unterschieden. Die Malware-App erhält so die Zugangsdaten für die Anwendung und kann die an den Angreifer weiterleiten. Sogar der Diebstahl neu angelegter Google-Accounts in den Android-Einstellungen funktioniert problemlos.
Der Angriff
Diese Angriffsform gibt es schon seit den Neunzigerjahren in Form von Malware für Windows und als Clickjacking plattformübergreifend im Browser. Tobias Ospelt von Modzero erläutert die Einzelheiten der gezeigten Implementierung im Detail: "Für den Angriff ist insbesondere die Berechtigung GET_TASKS notwendig. Diese erlaubt dem Schadprogramm, die zurzeit im Vordergrund befindliche Applikation zu eruieren. Die Berechtigung SYSTEM_ALERT_WINDOW erleichtert den Angriff ebenfalls erheblich, um in jedem Fall und ohne zusätzliche Animationen des Android-Systems grafische Elemente zu überlagern. Optional hilfreich ist die Berechtigung RECEIVE_BOOT_COMPLETED, damit sich die Malware bei jedem Neustart des Android-Systems neu startet. Wenn wir Informationen zu einem Angreifer-Server übertragen wollen, ist natürlich noch die INTERNET-Berechtigung nötig. Grundsätzlich tendieren Benutzer jedoch dazu, die Berechtigungen nicht zu lesen. Ist ein Benutzer erst einmal abhängig von einer Applikation und braucht diese regelmässig, so hat er kaum eine andere Wahl. Dies liegt an einem Mangel an Optionen: Der Benutzer kann nur das Update durchführen sowie die Berechtigungen erteilen oder die App deinstallieren, also alles oder nichts. Das Ignorieren eines Updates ist meistens auch nicht zielführend, weil man auf Fehlerkorrekturen und Sicherheitsupdates in der App nicht verzichten möchte.
Welche Android-Versionen sind betroffen?
Grundsätzlich sind alle Android-Versionen betroffen. Die nötigen APIs stehen bereits seit API Level 1 zur Verfügung. Getestet wurde allerdings nur mit Geräten unter Android 4 und 5. Das Google Security Team für Android ist schon seit Frühjahr 2014 detailliert in Kenntnis gesetzt. Trotzdem wurde das Problem nicht angegangen. Auch hier kann Tobias Ospelt mit genaueren Informationen aufwarten: "Bei Android 5 lässt sich nicht mehr so feingranular feststellen, welche Applikations-Aktivität sich im Vordergrund befindet. Dieselbe Situation ergibt sich auf Android 4.4.4 und davor, wenn die Applikation rein mit einer WebView programmiert wurde. Trotzdem ist der Angriff auf Applikationen auf der Basis von WebViews durchführbar und auch solchen auf Android-5-Geräten. Getestet haben wir das bis zum aktuellen Android 5.1. Wir haben also klar gezeigt, dass das Hauptproblem weiterhin besteht. Nur sieht es das Sicherheits-Team von Android nicht als Problem an." Zusätzlich zu Android selbst ist ebenfalls Blackberry betroffen, da diese auch Android-App unterstützen.
Wie gravierend ist das Problem?
Selbstverständlich behauptet Google, dass nur "gute" Apps den Einlass in den Play Store finden, weil jede App überprüft wird. Nur ist nicht jede Überprüfung detailliert genug und zudem kann eine solche App Teile des Codes von einem entfernten Rechner nachladen, nachdem die Applikation bereits durch den Validierungsprozess durch ist.
Wie kann man sich schützen?
Die Empfehlungen von Modzero: Das Einhalten der üblichen Sicherheitsmassnahmen ist unerlässlich:

  1. Kein Installieren aus unbekannten Quellen


  1. Berechtigungen überprüfen


  1. Sensitive Daten vom mobilen Gerät fernhalten.

Zusätzlich gibt es Alternativen zu Googles Android. Es muss nicht unbedingt immer Googles Android sein. In Sachen Berechtigungssystem sind beliebte Forks wie die von Cyanogen deutlich weiter. So ist in diesen Android-Versionen eine Opt-out-Option für Berechtigungen bereits vorhanden und es ist möglich, Berechtigungen granular zuzuweisen und zu entziehen.
Ausführlichere Informationen zur Sicherheitslücke finden sich auf dem Blog von Modzero. (cj)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023