Sicherheitslücken durch vorinstallierte Android-Apps

Mit den vorinstallierten Apps haben einige Smartphone-Anbieter das Android-Sicherheitskonzept ausgehebelt. Sie reichen ohne Zutun des Anwenders Rechte an andere Apps weiter, was Angreifer ausnutzen können.

In Pocket speichern vorlesen Druckansicht 222 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Susanne Nolte

Forscher der North Carolina State University haben mehrere Sicherheitslücken in einigen weitverbreiteten Android-Smartphones entdeckt, durch die Angreifer etwa Daten abgreifen oder löschen, SMS-Nachrichten versenden, die Kommunikation abhören oder eine Standortbestimmung vornehmen können. Verursacht wird diese Schwachstelle durch vorinstallierte Apps einiger Smartphone-Anbieter, die sich nicht an das Android-Sicherheitskonzept halten.

Die Forscher hatten acht Smartphones von vier Herstellern untersucht: Wildfire S, Legend und EVO 4G von HTC, das Motorola Droid und Droid X, Samsungs Epic 4G sowie Googles Modelle Nexus One und Nexus S. Während die Wissenschaftler in ihrer Studie "Systematic Detection of Capability Leaks in Stock Android Smartphones" an Googles Referenzimplementierungen auf den Nexus-Modellen wenig zu beanstanden hatten, waren sie nach eigenen Angaben überrascht darüber, dass sich die herstellereigenen Implementierungen nicht an das rechtebasierte Sicherheitsmodell von Android hielten.

Die Schwachstellen entstehen vor allem dadurch, dass installierte Apps ihre Rechte wie den Zugriff auf lokale Daten, GPS- oder Mobile-Netze an andere weiterreichen können. Indem die Hersteller ihre vorinstallierten Apps derart konfiguriert haben, können andere Apps diese Rechte nutzen, ohne dass der Benutzer ihnen diese Rechte zugebilligt hat. Von Google und Motorola haben die Forscher inzwischen eine Bestätigung der Schwachstellen erhalten, bei HTC und Samsung stießen sie dagegen auf Schwierigkeiten, die Erkenntnisse weiterzureichen. (sun)