Palo Alto Networks informiert über eine verbreitete Schwachstelle in Android. Angreifer können mit dem beschriebenen Verfahren die Installation einer Android-Paketdatei (APK) kapern und sie durch eine App ihrer Wahl ersetzen. Der Anwender bekommt nichts davon mit und muss auch keine zusätzliche Genehmigung erteilen. Das funktioniert allerdings nur bei Downloads aus alternativen Android-App-Marktplätzen – nicht in Google Play.
Von dieser Lücke sind laut Palo Alto etwa 49,5 Prozent aller Android-Geräte betroffen. Google und diverse Geräte-Hersteller von Amazon bis Sony sind informiert. Besonders Hardware mit einer älteren Version als Android 4.3_r0.9 kann anfällig sein. Aber auch auf einigen Android-4.3-Geräten wurde die Schwachstelle festgestellt. Palo Alto Networks bietet auf Github und in Google Play eine Anwendung an, die ermittelt, ob ein Gerät betroffen ist.
Laut Beschreibung steckt die Lücke im Android-Systemdienst PackageInstaller. Angreifer können sich darüber auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. So ist es ihnen zum Beispiel möglich, Benutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen zu lassen, während die App tatsächlich vollen Zugriff auf alle Dienste und Daten erhält, einschließlich persönlicher Daten und von Passwörtern.
Der Forscher Xu Zhi von Unit 42, dem Bedrohungsanalyse-Team von Palo Alto Networks, hat die Schwachstelle entdeckt. Sein Team empfiehlt, nur von Google Play Programme herunterzuladen und zu installieren. Dieser Marktplatz stellt einen geschützten Raum bereit, der durch Angreifer nicht überschrieben werden kann.
Außerdem sollten grundsätzlich keine Apps genutzt werden, die die Berechtigung erfordern, auf Logcat zuzugreifen. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern ermöglicht, Angriffe auf die Schwachstelle zu automatisieren.
Android 4.1 und später verbieten den Zugriff auf Logcat standardmäßig. Auf gerooteten Android-Geräten kann es laut Palo Alto aber gelingen, auch unter Android ab Version 4.1 auf Logcat zuzugreifen. Daher empfiehlt es Unternehmen, keine gerootete Enderäte in ihrem Netzwerk zuzulassen.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…