Rechte-Schmu bei Android

Unter Android können Apps die Launcher-Verknüpfungen anderer Apps manipulieren und beliebige neue anlegen, ohne dafür spezielle Rechte einzufordern. Ein vermeintlich harmloses Spiel könnte so etwa die Verknüpfung zur Home-Banking-App so manipulieren, dass bei der Aktivierung eine Phishing-Webseite (oder -App) geöffnet wird. Dies haben Sicherheitsforscher von FireEye herausgefunden.

Nach Angaben der Forscher muss eine App lediglich die Berechtigungen com.android.launcher.permission.READ_SETTINGS und WRITE_SETTINGS einfordern, um Verknüpfungen manipulieren zu können. Diese stuft Android nicht als besonders kritisch ein, weshalb der Nutzer bei der Installation solcher Apps auch nicht darauf hingewiesen wird. Anders sieht das jedoch bei der Berechtigung INSTALL_SHORTCUT aus, die eigentlich für das Anlegen von Verknüpfungen vorgesehen ist. Diese ist seit Android 4.2 "gefährlich", was bei der App-Installation auch angezeigt wird.

Eine Proof-of-Concept-App, die den Rechtemissbrauch demonstriert, konnten die Forscher problemlos an Googles Kontrollen vorbei in den Download-Katalog Play Store einstellen. Die Forscher haben das Unternehmen über das Sicherheitsproblem informiert, woraufhin Google einen Patch entwickelt und seinen OEM-Partnern zur Verfügung gestellt hat. Dass dieser jedoch in naher Zukunft eine große Verbreitung finden wird, ist unwahrscheinlich: Nur wenige Gerätehersteller versorgen ihre Kunden schnell mit aktuellen Android-Versionen. (rei)