Phishing-SMS durch Android-Lücke

Wenn PayPal per SMS zur Verifikation der Zugangsdaten auffordert, ist das nicht zwangsläufig eine neue Sicherheitsfunktion – möglicherweise steckt ein Android-Trojaner dahinter.

In Pocket speichern vorlesen Druckansicht 145 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Android-Apps können dem Smartphone-Benutzer vorgaukeln, dass er eine SMS von einem beliebigen Absender erhalten hat. Auch den Nachrichteninhalt kann die App frei bestimmen. Das sind die besten Voraussetzungen für Phishing-Angriffe (Smishing): Eine bösartige App könnte etwa eine SMS konstruieren, die vermeintlich von PayPal stammt und den Nutzer dazu auffordert, seine Zugangsdaten auf eine gefälschte PayPal-Seite einzugeben.

Entdeckt hat die Lücke das Team des Sicherheitsforschers Xuxian Jiang an der North Carolina State University, auf dessen Konto bereits die Entdeckung diverser weiterer Android-Lücken geht. In einem YouTube-Clip demonstrieren sie eine selbst entwickelte PoC-App unter Ice Cream Sandwich (4.0.4) und dem steinalten Donut (1.6). Das aktuelle Jelly Bean soll ebenfalls anfällig sein. Spezielle Rechte braucht die App für den Schwindel laut den Forschern nicht.

Da die SMS-Nachricht das Handy nicht verlässt, ist auch keine SIM-Karte nötig. Eine Möglichkeit, eine gefälschte SMS als solche zu erkennen, gibt es nach Angaben der Forscher nicht. Google hat das Problem gegenüber den Forschern bereits bestätigt und Linderung versprochen. Wann und mit welcher Android-Version die Lücke genau geschlossen wird, ist derzeit noch unklar.

Wer ein Android-Smartphone besitzt, sollte sich jedoch keine allzu großen Hoffnungen machen, dass das Update sein bereits gekauften Gerät erreicht – die meisten Hersteller versorgen ihre Bestandskunden nur sehr mangelhaft mit OS-Updates. (rei)