Bug in vielen Android-Handys erlaubt Ausspionieren
Ganz ohne Zugriffsrechte können Android-Apps Fotos und Videos machen – ideal, um Nutzer auszuspionieren. Von Google und Samsung gibt es Updates.
Eine Sicherheitslücke kann Android-Handys zu Wanzen machen, mit Augen, Ohren und indirektem Zugriff auf GPS-Daten.
(Bild: Motortion Films/Shutterstock.com)
Eine Sicherheitslücke hat viele Android-Handys ereilt: Installierte Apps können die Zugriffsbeschränkung auf Kamera und Mikrofon umgehen und ohne Wissen des Benutzers Fotos und Videos samt Ton erstellen. Hat die böswillige App den üblichen Zugriff auf gespeicherte Daten, kann sie die Fotos und Videos auch an einen Server übertragen. Das eröffnet enorme Spionagemöglichkeiten, wie ein Vorführprogramm (proof of concept) zeigt, das sich als Wetter-App ausgibt.
Betroffen sind zumindest Android-Handys mit Kamera-Apps von Google und Samsung, möglicherweise aber auch andere Android-Mobiltelefone. Entdeckt wurde das Problem von dem israelischen Softwareunternehmen Checkmarx. Es hat Google Anfang Juli informiert, noch im selben Monat brachte der Konzern ein Update für seine Kamera-App heraus. Samsung hat inzwischen nachgezogen. Am Dienstag hat Checkmarx die Lücke öffentlich gemacht.
Still und leise
Die vom Angreifer initiierte Aufnahme von Fotos und Videos funktioniert demnach auch dann, wenn das Handy gesperrt und der Bildschirm aus sind, oder wenn ein Telefonat geführt wird. Damit ist es möglich, über den Ton eines aufgenommenen Videos nicht nur den Raum abzuhören, in dem sich das Handy befindet, sondern auch Telefongespräche in vollem Umfang mitzuschneiden. Weil der Angreifer auch das Auslösegeräusch der Kamera ausschalten kann, fällt er nicht sofort auf.
Denn als einziger Hinweis auf die Spionage bleibt, dass auf dem Bildschirm das Kamerabild zu sehen ist. Das ist ein geringerer Schutz als man meinen möchte: Die Angreifer-App kann den Annäherungssensor nutzen, um zu erkennen, wann das Handy mit dem Bildschirm nach unten liegt, oder wann es ans Ohr gehalten wird, und nur dann zur Tat schreiten.
Hat der Nutzer versäumt, die Einbettung von GPS-Daten in Fotos abzuschalten, kann der Angreifer auch diese Daten auslesen und nach Hause übertragen. Somit kann er aktuelle und frühere Aufenthaltsorte des Handys in Erfahrung bringen. Die Sicherheitslücke trägt die Kennzeichnung CVE-2019-2234. (ds)
