Android-Apps können Sperrbildschirm beliebig abschalten
Eine Lücke in Android 4.3 ermöglicht es jeder installierten App, sämtliche Lockscreen-Funktionen zu deaktivieren, ohne dass sie die dafür erforderlichen Rechte bei der Installation anfordern muss.
- Fabian A. Scherschel
Sicherheitsforscher der deutschen Firma Curesec entdeckten eine Lücke in Android 4.3 (Jelly Bean), die es jeder installierten App erlaubt, sämtliche Lockscreen-Mechanismen auszuschalten. Durch einen Bug im Android-Code braucht die App dafür nicht einmal die entsprechenden Berechtigungen auf Betriebssystemebene. Das Potenzial der Lücke für einen tatsächlichen Angriff ist allerdings begrenzt, da ein Angreifer schon im Vorfeld eine App installiert haben muss, um den Lockscreen zu umgehen.
Curesec informierte Google Mitte Oktober über die Lücke. Nachdem Google auf drei Nachfragen nicht reagierte, veröffentlichten die Sicherheitsforscher letzte Woche Details und ein Proof-of-Concept. Jetzt haben die Entdecker des Problems eine quelloffene App nachgelegt, die bei der Installation keine Rechte anfordert, den Lockscreen auf Android-Geräten aber trotzdem abstellen kann. heise Security konnte die Schwachstelle verifizieren. Um die App zu installieren, muss der Benutzer allerdings die Installation aus Drittquellen aktiviert haben.
Im Normalfall muss ein Benutzer, der den Lockscreen deaktiviert, die Abschaltung bestätigen, in dem er das Gerät noch einmal entsperrt. Durch einen Designfehler können Apps diese Abfrage aber einfach umgehen. Die zugrundeliegende Sicherheitslücke (CVE-2013-6271) betrifft laut Curesec nur Android 4.3 (Jelly Bean). (fab)
