Android-Schwachstelle ermöglicht Austausch von Apps beim Download

Darüber hinaus können sich die Apps beliebige Berechtigungen verschaffen. Betroffen sind vor allem ältere Versionen als Android 4.3_r0.9 - und damit fast 50 Prozent aller Android-Geräte. Downloads aus Google Play sind gegen die Lücke geschützt.

Palo Alto Networks informiert über eine verbreitete Schwachstelle in Android. Angreifer können mit dem beschriebenen Verfahren die Installation einer Android-Paketdatei (APK) kapern und sie durch eine App ihrer Wahl ersetzen. Der Anwender bekommt nichts davon mit und muss auch keine zusätzliche Genehmigung erteilen. Das funktioniert allerdings nur bei Downloads aus alternativen Android-App-Marktplätzen – nicht in Google Play.

PackageInstaller-Lücke (Grafik: Palo Alto Networks)

Von dieser Lücke sind laut Palo Alto etwa 49,5 Prozent aller Android-Geräte betroffen. Google und diverse Geräte-Hersteller von Amazon bis Sony sind informiert. Besonders Hardware mit einer älteren Version als Android 4.3_r0.9 kann anfällig sein. Aber auch auf einigen Android-4.3-Geräten wurde die Schwachstelle festgestellt. Palo Alto Networks bietet auf Github und in Google Play eine Anwendung an, die ermittelt, ob ein Gerät betroffen ist.

Laut Beschreibung steckt die Lücke im Android-Systemdienst PackageInstaller. Angreifer können sich darüber auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. So ist es ihnen zum Beispiel möglich, Benutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen zu lassen, während die App tatsächlich vollen Zugriff auf alle Dienste und Daten erhält, einschließlich persönlicher Daten und von Passwörtern.

Der Forscher Xu Zhi von Unit 42, dem Bedrohungsanalyse-Team von Palo Alto Networks, hat die Schwachstelle entdeckt. Sein Team empfiehlt, nur von Google Play Programme herunterzuladen und zu installieren. Dieser Marktplatz stellt einen geschützten Raum bereit, der durch Angreifer nicht überschrieben werden kann.

Außerdem sollten grundsätzlich keine Apps genutzt werden, die die Berechtigung erfordern, auf Logcat zuzugreifen. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern ermöglicht, Angriffe auf die Schwachstelle zu automatisieren.

Android 4.1 und später verbieten den Zugriff auf Logcat standardmäßig. Auf gerooteten Android-Geräten kann es laut Palo Alto aber gelingen, auch unter Android ab Version 4.1 auf Logcat zuzugreifen. Daher empfiehlt es Unternehmen, keine gerootete Enderäte in ihrem Netzwerk zuzulassen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Palo Alto, Sicherheit, Smartphone, Tablet

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

15 Kommentare zu Android-Schwachstelle ermöglicht Austausch von Apps beim Download

Kommentar hinzufügen
  • Am 24. März 2015 um 20:48 von Ja

    Alle Tage wieder, ein Android Problem – und wieder sind ’nur‘ 50% aller Androiden gefährdet. Nun dürfen die Anwender wegen WebView mit ihren Androiden besser keine Apps aufrufen – und wenn sie doch mal neue herunterladen sollten, dann besser direkt bei Papa Google.
    Toll.

    • Am 24. März 2015 um 22:40 von Judas Ischias

      Ist so etwas nicht schon bei Apple ausgeschlossen, sich in einem anderen Markt zu versorgen?
      Wird meines Wissens immer als besonders sicher dargestellt, weil es bei Apple ja keine Viren und ähnliches Zeug geben soll. ;)
      Na ja, wer es glauben will wird es auch weiterhin tun.
      Besonders wenn es die oberste Etage von Apple verbreitet.

    • Am 25. März 2015 um 1:15 von punisher

      Bei Apple zeigt ihr immer ganz stolz mit dem Finger: aber nicht beim applestore, hier ist das jetzt natürlich dann negativ… Immer das selbe mit den namenlosen. Wenn sie dann auch nut halbwegs was lesbares schreiben, haben sie dann plötzlich Namen. Tastaturhelden eben.

    • Am 25. März 2015 um 18:00 von hicks

      :D der ging nach hinten los

      • Am 25. März 2015 um 23:31 von Judas Ischias

        @Hicks,
        der Kommentar von Punisher!?

        Ich vermute, er hat das Apple-Gerät von seiner Freundin benutzen müssen und wollte mal Siri ausprobieren. :-)

        @Punisher, sorry, das konnte ich mir jetzt nicht verkneifen.
        Aber wenn Du den Kommentar noch mal durchliest, musst Du zugeben, dass er schon „verunglückt“ ist.

        • Am 27. März 2015 um 6:26 von punisher

          Da schein ich wohl selbst den Faden verloren zu haben. Gemeint war der playstore und nicht der applestore ;) Kann mir eben auch mal passieren, selbst wenn ich die schuld nicht auf Siri schieben kann…

  • Am 25. März 2015 um 10:15 von Marco G.

    Was tun wenn ich betroffen bin? Auf Update hoffen oder?
    Ich hab Android 5.0. Moto G

  • Am 25. März 2015 um 18:10 von punisher

    Apps nur von Google play beziehen und gut ist.

    • Am 25. März 2015 um 23:46 von @punisher

      Und wo ist dann die vielgelobte ‚Freiheit‘ des offenen Systems? Noch zwei, drei Schritte mehr, und Google kommt bei iOS 5 an, und Samsung mit seinem nachempfundenen S6 landet komplett beim S5. Obwohl, aussehen tut es eher wie das iPhone 6. Aber sie passen nun auch durch Verzicht von SD, Wechsel-Akku, Wasserschutz etc. die Funktionen an – UND den Preis. Well done, Goolge/Samsung. Ihr seid bereit zu lernen, was Apple seit langem vorlebt. ;-)

      • Am 27. März 2015 um 6:33 von punisher

        Stimmt, das Samsung jetzt schon gebogene Kanten von Apple kopiert und nicht nur diese runden Ecken… Schande über diese Firma…
        Das mit der Karte und dem Akku finde ich auch schade, aber Preis? Bitte, wir wissen das nur bei Apple UVP= Verkaufspreis ist. Wir normalen Menschen haben die Auswahl bei wo wir das neueste Smartphone kaufen und die Verkäufer topen sich gegenseitig im Preis wo es nur geht. Ich meine sie kaufen die Smartphones ja auch günstig, da machen dann alle Gewinn. Hersteller, Großhandel und Verkäufer. Aber bei Apple ist das halt anders, um den Anschein von Exklusivität zu bewahren, entfällt der Großhandel, so kann man den Preis selbst kontrollieren und oben halten um den Kunden auch Jahre später noch das Geld aus der Tasche zu ziehen.

        • Am 27. März 2015 um 7:39 von PeerH

          Ja, stimmt: Apple ist böse, weil sie Geld verdienen wollen. Alles klar.

          Google will die Leute ausspionieren und mit Werbung zukleistern, steht im Verdacht sein Monopol zu missbrauchen, und drängt Mitbewerber mit Dumping/’kostenlos‘ Angeboten aus dem Markt, und ist nicht böse. Microsoft hat erwiesenermaßen seine Monopolstellung missbraucht, und ist nicht böse. Amazon saugt den Onlinehandel auf, bezahlt Mitarbeiter schlecht/will Betriebsräte verhindern, und ist nicht böse … die Liste ließe sich beliebig fortsetzen.

          Alle non-Apple Hersteller scheren sich wenig für die Verbesserung der Arbeiter bei den Herstellern in China, drehen Däumchen und schweigen – Hauptsache billig produzieren – und sind nicht böse? Apple tut sowohl für die Arbeitnehmer als auch für die Umwelt etwas, ist aber böse.

          Und Amazon, Google und Microsoft machen das alles – natürlich – aus purer Menschenfreude. Die Milliarden Gewinne sind ein Versehen. Das Geld (und die Daten an Google=deren Währung) wurde den Konzernen von glücklichen Kunden gerne gegeben, während das böse Apple den Kunden das Geld heimlich, und in ausbeuterischer Absicht, aus der Tasche stiehlt, und dafür Null Gegenwert liefert. Alles klar.

          Samsung veralbert die Kunden zuerst mit einem explizit überhöhten Preis, und senkt diesen dann sukzessive ab, sobald es nicht mehr genügend Dumme gibt, und das findest Du gut? Und Apple hat eine transparente, für ein Jahr gültige Preisstruktur, in der Ware einen festen Preis hat, und das ist schlecht? Alles klar.

          Das Apple-bashing nimmt immer skurilere Formen an.

          • Am 27. März 2015 um 15:51 von Judas Ischias

            Du hast Recht. Die Liste ließe sich beliebig fortsetzen.
            Und auf jeden Fall gehört da noch Apple mit rein.

            Wo Du was von Betriebsräten schreibst. Gib mal nur bei Google „Apple Betriebsräte“ ein, Du würdest heulen, was da für Schweinereien verzeichnet sind.
            Apple hat doch auch keine Betriebsräte gewollt und behindert, wo es nur ging.
            Hat seine Mitarbeiter mit Kameras überwachen lassen und wurde dafür rechtskräftig verurteilt.
            Auch diese Liste, mit den Schweinereien von Apple, ließe sich beliebig fortsetzen.

            Warum fällst Du immer über andere Firmen her und ignorierst permanent alle hässlichen Dinge von Apple? Denn genau das wirfst Du ja immer anderen Leuten vor, ohne dass Du dies selbst mal machst.
            Deine Lobhudelei für Apple nimmt immer skurrilere Formen an, ist ja schon sehr obsessiv.

          • Am 27. März 2015 um 20:34 von @JI

            Du meinst doch sicher ‚religiös‘ oder? Weil Du als religiöser Anti-Appler ja Deine Religion bedroht siehst? ;-)

          • Am 28. März 2015 um 2:18 von Judas Ischias

            Ich bin im Gegensatz zu Dir noch für andere Hersteller und Betriebssysteme offen.
            Du bist nur auf Apple fixiert.
            Und zwar so schlimm, dass Du mit Beispielen von anderen Firmen kommst, wie z.B.“Amazon bezahlt Mitarbeiter schlecht/will Betriebsräte verhindern“, dabei siehst Du nicht, oder willst es in deiner Blindheit für Apple überhaupt nicht sehen, dass genau diese Dinge Apple auch gemacht hat und noch immer macht.

            Religiös bin ich ganz gewiss nicht, da ich schon sehr lange aus der Kirche ausgetreten bin.
            Und bedroht fühle ich mich ganz bestimmt nicht von Apple. Also völlig falsche Annahme. ;)
            Und warum mir Apple nicht „sympathisch“ ist, habe ich hier doch schon häufiger erklärt.
            Liegt bestimmt auch an solchen Leuten wie Dir, weil diese völlig realitätsfremd Apple immer verteidigen, aber einfach nicht die Schweinereien von Apple sehen wollen und wenn man diese zu Recht kritisiert, dann ist das Geheule wegen bashen von Apple riesengroß.

          • Am 29. März 2015 um 8:53 von punisher

            @peerH
            Non Apple Hersteller… :) sicher, nur Apple kümmert sich um die hinterbliebenen der Suizidkinder. Ihr zahlt bei euren Geräten ja auch dafür. Aber sei doch realistisch, da Apple selbst nichts produziert, kaufen und produzieren die da, wo es auch andere tun.

            „Samsung veralbert…“ hmmm, Samsungs UVP ist immer noch gleich, die Verkäufer gehen mit den Preisen runter und kämpfen gegeneinander, das nennt sich freie Marktwirtschaft. Ich verlange nicht dass du das verstehst, nur dann schreib bitte auch nichts darüber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *