Android lässt Apps ohne Rechte telefonieren
Durch ein Sicherheitsloch können Android-Apps offenbar das Telefonmodul des Smartphones benutzen, ohne die hierzu nötigen Rechte beim Nutzer anzufragen.
- Ronald Eikenberg
Die Berliner Sicherheitsfirma Curesec hat entdeckt, dass bei Android ab Version 4.1 (Jelly Bean) im Code der Telefonfunktionen fälschlicherweise eine Klasse namens NotificationBroadcastReceiver exportiert wird, obgleich ein Entwicklerkommentar besagt, dass genau dies nicht geschehen darf.
Apps können diese Klasse laut Curesec ansprechen und beliebige Rufnummern wählen. Auch das Senden von USSD-Codes soll möglich sein. Darüber kann eine Malware-App zum Beispiel eine Rufumleitung einrichten oder die SIM-Karte zerstören. Google wurde von den Entdeckern der Lücke bereits Ende 2013 über das Problem informiert. Offenbar hat dies Früchte getragen: Laut Curesec ist aktuelle die Android-Version 4.4.4 nicht mehr anfällig.
Rechtemanagement in der Kritik
Auch ohne Sicherheitslücken ist das Rechtesystem von Android recht gutmütig – insbesondere seit der jüngsten Änderung. Seitdem zeigt das System bei der App-Installation nicht mehr alle Rechte an, die eine App einfordert. Darüber hinaus können sich App-Entwickler durch Updates weitere Rechte erschleichen, solange diese aus der gleichen Kategorie stammen wie Rechte, die der Nutzer bereits genehmigt hat. Das klappt nicht nur in der Theorie: Ein reddit-Nutzer hat eine Demo-App in den Play Store gestellt und dieses Szenario komplett durchgespielt. (rei)
