Dem Anschein nach können Android-Apps, die keinerlei Berechtigungen haben, trotzdem auf sensible Informationen zugreifen. Das hat Sicherheitsforscher Paul Brodeur von der Leviathan Security Group herausgefunden und eine Proof-of-Concept-App geschrieben. Wie er in einem Blogeintrag erläutert, haben „No Permissions“-Anwendungen immer noch Zugang zur SD-Karte, den Identifikationsdaten des Geräts sowie Daten, die von anderen Apps abgespeichert werden.
Brodeur zufolge hat jede App zumindest einen Read-only-Zugriff auf den externen Speicher. Seine Anwendung „No Permissions“ scannt das Verzeichnis /sdcard und liefert eine Liste aller nicht versteckten Dateien auf der SD-Karte – etwa von Fotos, Backups und externen Konfigurationsdateien. So fand der Sicherheitsforscher heraus, dass auf seinem eigenen Gerät OpenVPN-Zertifikate auf der SD-Karte abgepeichert waren.
„Obwohl es möglich ist, die Inhalte aller dieser Dateien abzugreifen, überlasse ich es jemand anderem, zu entscheiden, welche es sich zu schnappen lohnt und welche langweilig sind“, schreibt Brodeur. Es sei erwähnenswert, dass laut den Android-Entwickler-Dokumenten keine Sicherheitsmaßnahmen für externe Speicher gebe, aber dennoch so viele Dateien dort abgelegt würden.
Auch die Datei /data/system/packages.list lässt sich mit Brodeurs Proof-of-Concept abgreifen, um herauszufinden, welche Anwendungen zur Zeit auf dem Gerät installiert sind. Im nächsten Schritt durchsuchte Brodeur die Verzeichnisse, um herauszufinden, welche sensiblen Informationen darin enthalten sind. Er war nach eigenen Angaben in der Lage, Dateien auszulesen, die zu anderen Anwendungen gehörten. Diese Funktion könne dazu verwendet werden, Apps zu finden, die schwache Zugriffsberechtigungen hätten und dadurch angreifbar seien, erklärte Brodeur – „wie die, die vergangenes Jahr in Skype gefunden wurden“.
Zuletzt war Brodeurs Anwendung in der Lage, die Geräteidentifikation auzulesen. Ohne die Erlaubnis PHONE_STATE lässt sich zwar weder IMEI noch IMSI abgreifen, wohl aber die Informationen über den GSM- und SIM-Anbieter.
„Obwohl diese Anwendung Buttons nutzt, um die drei beschriebenen Aktionen auszuführen, ist es banal für jegliche installierte App, sie auch ohne Interaktion des Nutzers auszuführen“, schreibt Brodeur. Er hat seine Proof-of-Concept-App nach eigenen Angaben unter Android 4.0.3 Ice Cream Sandwich und Android 2.3.5 Gingerbread getestet.
[mit Material von Steven Musil, News.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Malware-Kampagne nutzt Beliebtheit von KI-Tools aus und tarnt sich als KI-Stimmengenerator und wird über Phishing-Webseiten…
Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…
Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…
Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…
Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…
Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…