StrandHogg: Fehler im Multitasking von Android könnte Malware Tür und Tor öffnen

Schadcode soll sich hinter legitimen Apps verstecken und so Berechtigungen zum Spionieren einfordern können. Trotz Angriffen gibt es noch keinen Patch.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Android-Männchen

(Bild: dpa, Britta Pedersen/Archiv)

Lesezeit: 3 Min.

Sicherheitsforscher von Promon warnen vor einer Malware, die an einer Schwachstelle im Multitasking-System von Android ansetzen kann. Davon sollen alle Android-Versionen bis zur aktuellen Ausgabe 10 betroffen sein.

Nutzen Angreifer die Lücke aus, könnten sie unter bestimmten Voraussetzungen beispielsweise Mikrofone von Smartphones anzapfen und Passwörter mitschneiden. Promon warnt vor aktuell laufenden Attacken dieser Art. Google soll über die StrandHogg getaufte Verwundbarkeit Bescheid wissen, bislang ist den Sicherheitsforschern zufolge aber noch kein Sicherheitsupdate angekündigt. Die Angriffe sollen bei knapp 94 Prozent der populärsten Apps in Google Play funktionieren. Die Sicherheitsforscher nennen aber keine konkreten Namen.

Eine Attacke ist aber nicht ohne Weiteres möglich und es muss sich bereits Schadcode auf Geräten befinden. In Google Play soll es legitime Apps gegeben haben, die diesen Schadcode als Zusatzmodul mitbringen, führen die Sicherheitsforscher in einer Meldung aus. Welche Apps das im Detail sind, steht dort aber nicht. Google soll sie bereits offline genommen haben. Die Sicherheitsforscher gehen aber davon aus, dass solche "Dropper Apps" jederzeit wieder in Google Play auftauchen könnten.

Aufgrund von einer Schwachstelle im Multitasking-System von Android könnte sich Schadcode beim Start einer legitimen App einklinken und unter diesem Deckmantel zum Beispiel GPS für einen Angreifer aktivieren.

(Bild: Promon )

Ist die Malware erst mal auf einem Gerät, könnten Angreifer diese aus der Ferne attackieren. Das soll ohne Root-Rechte möglich sein. Dabei setzen sie an einer Schwachstelle im Multitasking-Ansatz von Android an. Für die Lücke wurde offensichtlich noch keine CVE-Nummer vergeben. Auch eine Bewertung des Angriffsrisikos sucht man vergebens – die Zeichen deuten aber alle auf "kritisch".

Öffnet ein Anbieter eine legitime App, soll sich der Schadcode im Multitasking-System dazwischenschalten können und so als legitime App getarnt Berechtigungen einfordern. So könnten Angreifer beispielsweise Zugriff auf die Kamera bekommen und das Opfer ahnt wegen dem Tarnmantel der legitimen App nichts Böses. Alternativ könnten Angreifer über diesen Weg auch Log-in-Bildschirme ersetzen und so Zugangsdaten über eigene Phishing-Formulare abfangen. Promon gibt an, konkrete Beweise zu haben, dass Angreifer das bereits aktiv ausnutzen.

Der Exploit zielt auf die Multitasking-Funktion taskAffinity ab. Darüber können Apps im Multitasking-System beliebige Identitäten annehmen. Gepaart mit weiteren Funktionen kann sich so Schadcode im Kontext von legitimen Apps in den Vordergrund drängen. Davon sollen Nutzer den Sicherheitsforschern zufolge nichts mitbekommen. Weitere Details zu möglichen Angriffen erläutern sie in einem ausführlichen Bericht.

[UPDATE, 04.12.2019 10:40 Uhr]

Für eine erfolgreiche Attacke sollen keine Root-Rechte vonnöten sein. Fließtext ergänzt. (des)