Android-Exploit schleust beliebige Apps ein

Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.

In Pocket speichern vorlesen Druckansicht 504 Kommentare lesen
Android-Exploit schleust beliebige Apps ein
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Durch zwei Sicherheitslücken war es möglich, Webseiten zu erstellen, die ungefragt beliebige Android-Apps aus Google Play installieren. Die erste Lücke ist eine alte Bekannte: Die Webbrowser-Komponente von Android bis einschließlich Version 4.3 ist anfällig für das sogenannte Universal Cross-Site-Scripting (UXSS). Dadurch kann eine bösartige Webseite eine beliebige andere Website fernsteuern. Die Angriffsseite könnte etwa einen Webmail-Dienst in einem unsichtbaren Frame laden und auf die Mails des Opfers zugreifen – vorausgesetzt, das Opfers ist bei dem Dienst eingeloggt, wenn es die bösartige Seite aufruft.

Never gonna give you up, never gonna let you down: Der Demo-Exploit von Rapid7 installiert und startet beim Besuch der Angriffsseite eine Rick-Astley-App.

(Bild: Google Play)

Der Dienst ist in diesem Fall die Web-Version Google Play, in der die zweite Lücke klafft. Der Sicherheitsforscher Tod Beardsley von Rapid7 hat entdeckt, dass Google seinen App-Katalog unzureichend vor dem oben beschriebenen Angriff abgesichert hat. So konnte die Angriffsseite unsichtbar die Produktseite einer beliebigen App im Play Store laden und auf den "Installieren"-Knopf drücken. Kurze Zeit später war die App nicht nur auf dem Smartphone, sie wurde sogar direkt gestartet.

Google sperrt sich inzwischen gegen Versuche, die Web-Version des Play Store mit verwundbaren Browser-Versionen zu besuchen.

Beardsley hat ein Modul für das Angriffs-Framework Metasploit entwickelt, um den Angriff zu illustrieren. Ein Test von heise Security ergab, dass Google zumindest die Schwachstelle im Play Store inzwischen anscheinend provisorisch behoben hat. Wenn die Exploit-Seite unter Android 4.3 oder älter auf die betroffene Schnittstelle zugreift, liefern Googles Server lediglich eine Fehlermeldung zurück. Die besagt, dass der eingesetzte Browser nicht länger unterstützt wird.

Damit hat Google zwar dieses konkrete Angriffsszenario entschärft, aber nicht das Grundproblem, nämlich die UXSS-Lücke im Android-Browser. Und das Unternehmen plant auch nicht, dieses Sicherheitsloch zu stopfen, sondern rät Nutzern betroffener Android-Versionen – das sind aktuell immerhin mehr als die Hälfte aller Android-Nutzer, einen alternativen Browser wie Chrome oder Firefox zu installieren.

Kekse: Mit einem der öffentlich zugänglichen Browser-Exploits konnten wir die Cookie-Datenbank eines Android-Smartphones abgreifen.

Der Sicherheitsforscher zählt inzwischen elf Browser-Lücken, die Online-Kriminelle als Einfallstor ins Smartphone oder Tablet missbrauchen können. Für viele davon gibt es längst öffentlich zugängliche Exploits. Durch eine Lücke, die bislang kaum Beachtung fand, serviert der Android-Webbrowser dem Angreifer seine gesamte Cookie-Datenbank. heise Security konnte das Problem nachvollziehen. Durch eine andere Lücke kann der Angreifer beliebige Befehle auf dem Android-Gerät ausführen und es so etwa in eine Wanze verwandeln. Auch das konnte heise Security nachvollziehen.

Aktuell nutzt noch mehr als die Hälfte aller Android-Nutzer eine verwundbare Version (4.3 oder älter).

Auch wenn die Browser-Lücken bislang nicht auf breiter Front von Online-Ganoven ausgenutzt werden, sollte man als Nutzer von Android 4.3 oder älter darauf vorbereitet sein und, wie von Google empfohlen, auf einen alternativen Browser umsteigen. Zu beachten ist allerdings, dass man sich für einen Browser mit eigener Rendering-Enginge entscheidet, wie etwa Chrome oder Firefox. Browser-Apps, welche die verwundbare Webview-Komponente des Betriebssystems nutzen, bieten keinen Schutz. Dazu zählen auch die vorinstallierten Browser-Apps mancher Smartphone-Hersteller. (rei)