Android-Lücken ermöglichen heimliche Installation von Apps
Eine als "Angry Birds Bonus Level" getarnte App installierte weitere Apps ohne Nachfrage beim Anwender, darunter eine, die kostenpflichtige SMS versenden konnte. Zu viele Rechte des HTC Browser lassen sich ebenfalls zu heimlichen Installation missbrauchen.
- Daniel Bachfeld
Sicherheitsforscher haben zwei Schwachstellen in Android und den dazugehörigen Implementierungen der Gerätehersteller vorgeführt, durch die Angreifer ohne Nachfrage beim Anwender Apps installieren können. Normalerweise wird ein Anwender bei einer Installation wenigstens gefragt, ob er einer Anwendung bestimmte Zugriffsrechte gewähren will. Wird dies umgangen, ließen sich Spionage-Apps oder gar Dialer auf einen Smartphone installieren.
Das Besondere an beiden Schwachstellen ist, dass sie sich ohne Angriff auf den zugrundeliegenden Linux-Kernel von Android ausnutzen lassen und allein im User-Space funktionieren. So hat der nur unter dem Pseudonym Nils bekannte Sicherheitsspezialist bei der Analyse von HTC-Geräten herausgefunden, dass der integrierte Webbrowser das Recht zur Installation weiterer Pakete (INSTALL_PACKAGES) besitzt. Laut Nils hat HTC dies integriert, damit der Browser sein Flash-Lite-Plug-in selbstständig aktualisieren kann. Das lässt sich aber von Angreifern wiederum ausnutzen, wenn sie eine weitere Lücke im Browser gefunden haben.
Solche Browser-Lücken unter Android 2.1 hat das Unternehmen MWR InfoSecurity – bei dem Nils zufälligerweise der Leiter der Forschungsabteilung ist – bereits Mitte August gemeldet. Kürzlich erschien zudem ein Browser-Exploit für Motorolas Droid. Für die Vorführung des Angriffs nutzte Nils ein HTC Legend mit Android 2.1. Zwar ist die Browserlücke in Android 2.2 geschlossen, aber erst ein Drittel der Anwender hat diese Version auf seinen Geräten installiert.
Darüber hinaus hat der Android-Spezialist Jon Oberheide eine Lücke vorgeführt, bei der er den Account-Manager missbrauchte, um sich ein Authentifizerungs-Token für den Android Market zu generieren und dort die Erlaubnis zur Installation weiterer Apps einzuholen. Konkret muss dazu aber initial eine präparierte App auf das Smartphone gelangen. Nichts leichter als das: Oberheide stellte den vermeintlich harmlosen "Angry Birds Bonus Level" in den Markt, der nach der Installation drei weitere Apps ("Fake Toll Fraud", "Fake Contact Stealer", "Fake Location Tracker") ohne Nachfrage beim Anwender nachlud und installierte.
Fake Tool Fraud hatte unter anderem die Rechte, kostenpflichtige SMS zu versenden. Google hat alle Apps von Oberheide mittlerweile aus dem Market entfernt. Bereits im Juni hatte Oberheide mit einer App Schwachstellen in Android vorgeführt. Damals macht Google erstmals von seiner Fernlöschfunktion auf Android-Geräten Gebrauch. (dab)
