Android-Bug provoziert Reboot-Schleife

Googles Smartphone- und Tablet-Betriebssystem lässt sich durch eine manipulierte APK-Datei außer Gefecht setzen. Ein Diebstahl der Daten droht zwar nicht, aber ein ebenfalls ärgerlicher Komplettverlust.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Tam Hanna

Android-Smartphones und -Tablets lassen sich durch eine manipulierte APK-Datei außer Gefecht setzen, wie der Entwickler Ibrahim Balic festgestellt hat. Betroffene Geräte geraten in eine Bootschleife: Beim Starten rufen sie die App auf, die direkt wieder einen Reboot verursacht. Der einfachste Schutz gegen den Schädling besteht darin, nur Apps aus offiziellen Quellen wie den App-Stores von Google oder Amazon zu installieren.

Beenden lässt sich der Spuk nur, indem die Schad-App aus dem Speicher entfernt wird. Das Sicherheitsunternehmen Trend Micro empfiehlt dazu betroffenen Benutzern, ihr Smartphone oder Tablet per „Hardreset“ zu formatieren – das zieht allerdings den Verlust aller auf dem Gerät befindlichen Daten nach sich. Alternativ können mit ADB erfahrene Entwickler dieses SDK-Werkzeug zur Beseitigung der bösartigen App nutzen. Dazu ist ihr genauer Name erforderlich – wer den Verursacher nicht kennt, muss alle Daten shreddern.

Das kriminelle Potential des Schädlings dürfte sich in engen Grenzen halten. Angreifer können keine wertvollen Daten abgreifen, Betroffene lassen sich kaum erpressen.

Die innere Struktur der Schad-App ist nicht sonderlich kompliziert. Es genügt, den appname-Wert in strings.xml auf einen sehr großen Wert zu setzen. Ist der dort befindliche Text mehr als 387000 Zeichen lang, so scheitert der Lader des Betriebssystems beim Parsen der APK-Datei und führt den Reboot durch.

Der türkische Androidentwickler Ibrahim Balic entdeckte den Fehler durch Fuzzing. Dabei handelt es sich um eine Methode zur automatisierten Suche von Schwachstellen. Ein als Fuzzer bezeichnetes Programm speist mehr oder weniger zufällig generierte Anfragen in das Zielsystem ein, bis dieses kollabiert.

Außer dem Problem mit dem Appnamen hat Balic weitere verwundbare Services ausgemacht. Der Launcher-Service, die Tastatur und der acore-Prozess lassen sich durch bösartige APKs ebenfalls aus dem Tritt bringen. Es wäre durchaus vorstellbar, dass sich einer dieser Exploits zur Realisierung von gefährlicherer Malware missbrauchen ließe.

Witzigerweise ist auch Googles Dienst zum Einstellen von Apps in den Play Store gegen derartige Angriffe nicht immun: Balic lud eine manipulierte Datei in den Store hoch, und brachte den Bouncer zum Absturz, der die hochgeladenen Apps eigentlich auf Schädlinge überprüfen soll. Das Resultat davon war, dass Entwickler einige Tage lang keine neuen APK-Dateien hochladen konnten. (jow)