Cyberkriminelle nutzen eine im Oktober gepatchte Sicherheitslücke aus, um eine selten verwendete Android-Funktion namens NFC-Beaming für ihre Zwecke zu missbrauchen. Betroffen sind Geräte mit den OS Versionen 8.x Oreo und 9 Pie. Ihnen können App-Installationsdateien (APK) untergeschoben werden, die sich ohne Sicherheitswarnung installieren lassen.

NFC Beaming – unter Android als Android Beam bezeichnet – erlaubt es Android-Geräten, Dateien per Near Field Communication an andere Android-Geräte in der Nähe zu verschicken. Es ist damit eine Alternative zu Dateiübertragungen per Bluetooth oder WLAN. Übermitteln lassen sich neben Bilder, Musikdateien und Videos eben auch App-Installationspakete.

Fragliche APK-Dateien werden normalerweise im internen Speicher eines Android-Geräts abgelegt. Zudem erscheint eine Meldung, die vor der Installation einer App aus einer unbekannten Quelle warnt – ab Werk untersagt Android dieses. Über die Meldung lässt sich dieser Vorgang jedoch speziell für Android Beam freigeben.

Im Januar fand der Sicherheitsforscher Y. Shafranovich heraus, dass unter Android 8 Oreo und neuer dieser Sicherheitshinweis nicht erscheint. Stattdessen wird eine Meldung eingeblendet, mit der sich die App mit einem Klick installieren lässt, ohne dass auf mögliche Sicherheitsrisiken aufmerksam gemacht wird.

Der Bug hebelt also die Sicherheitsfunktion aus, mit der Google sicherstellten will, dass Android-Geräte nur Anwendungen aus vertrauenswürdigen Quellen wie dem Play Store beziehen. Welche Quellen außer dem Play Store „vertrauenswürdig“ sind, können Nutzer seit Android 8 individuell in den Sicherheitseinstellungen des Mobilbetriebssystems festlegen.

Die Schwachstelle mit der Kennung CVE-2019-2114 basiert auf dem Umstand, dass die Android-Beam-App versehentlich als vertrauenswürdig voreingestellt ist. Sie genießt also dasselbe Vertrauen wie der Play Store, der allerdings leider auch dafür bekannt ist, in Ausnahmefällen schädliche Apps an Nutzer zu verteilen.

Mit dem Oktober-Update wurde Android Beam unter den OS-Version 8 Oreo und 9 Pie dieses Vertrauen wieder entzogen. Die wenigen Nutzer, die bereits Android 10 einsetzen, egal ob als finale Version oder in einer Preview, sind übrigens nicht betroffen, da Google die Beam-Funktion aus Android Q entfernt hat.

Nutzer, deren Geräte noch nicht die Oktober-Patches erhalten haben (es reicht der Sicherheitspacht-Level 1. Oktober) sollten in den Verbindungseinstellungen NFC deaktivieren – außer sie nutzen den Dienst für kontaktloses Bezahlen per Smartphone. In dem Fall lässt sich Android Beam separat abschalten.