Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Mehr Fehler mit QR-Codes, auch bei OnePlus – Google bietet Pixel-Update

Google wollte Sicherheitsbug mit QR-Codes nicht beheben. Erst nach dem heise-Bericht ging es flott. Neu entdeckt: Android-Handys können falsche Termine haben​.

In Pocket speichern vorlesen Druckansicht 194 Kommentare lesen
Infografik zeigt zweimal den selben QR-Code. Links wird darin korrekt ein Link https:// wwwheise.de erkannt, rechts inkorrekt ein Link heise.de

Links ein Screenshot der App QR Barcode von BondRen, rechts ein Screenshot der Google Camera App auf einem Pixel 5 vor Einspielen des neu verfügbaren Updates. In diesem Fall führen beide Auswertungen zur selben Webseite - das muss aber nicht so sein.

(Bild: Daniel AJ Sokolov)

Lesezeit: 10 Min.
Security
Von
Inhaltsverzeichnis

Googles Camera-App verfälscht beim Auswerten von QR-Codes nicht nur enthaltene Links, sondern auch Kalenderdaten. Das Link-Problem betrifft deutlich mehr Domains, wie weitere Tests heise securitys belegen. Außerdem sind mehr Handys betroffen: Neben Pixel-Handys mit Android 12 können auch manche OnePlus-Mobiltelefone sowie Pixel-Handys mit Android 11 betroffen sein. Ein Leserhinweis hat uns zudem auf falsche Auswertung von Kalenderdaten aufmerksam gemacht, die alle Nutzer der Google-App Lens betreffen kann.

Am Donnerstag hat heise security erstmals berichtet, dass Googles Camera-App auf Pixel-Handys mit Android 12 http(s)-Links aus QR-Codes verfälscht. Wir haben dabei drei Fehlergruppen herausgearbeitet:

  1. Ein Google-Algorithmus setzt vor der Weiterleitung an den Browser falsche Punkte in den Second Level Teil von Domainnamen.
  2. Googles Algorithmus löscht Zeichen am Ende mancher Links.
  3. Googles Algorithmus verschiebt Ziffern in Domainnamen, die der Zeichenfolge "www" folgen, in einen eigenen Level, sodass zum Beispiel aus https://www1.nyc.gov das falsche https://www.1.nyc.gov wird.

Ein Klick, und der User landet bestenfalls bei einer Fehlermeldung, schlimmstenfalls in den Armen eines gewieften Angreifers. Googles hat dazu noch nicht Stellung genommen, sondern um Geduld gebeten.

Mehr Handys, mehr Fehler

Nun können wir berichten, dass die Fehlergruppen 2 und 3 in deutlich mehr Fällen auftreten (siehe unten auf Seite 2), und dass auch manche Pixel-Handys mit Android 11 sowie manche OnePlus-Handys betroffen sind. Hinzu kommt eine vierte Fehlergruppe, die Kalendereinträge auf potenziell sehr vielen Android-Handys betrifft: Aus QR-Codes entnommene Termine können völlig falsch im Kalender landen.

Zunächst hatte heise security die Fehler der Camera-App nur auf Pixel-Handys mit Android 12 verifiziert. Inzwischen konnten wir sie auch auf mehreren OnePlus 6 mit als OxygenOS verpacktem Android 11 verifizieren. Dabei hat uns unter anderem Sicherheitsexperte Christian Wieser von der Universität Oulu geholfen. Zudem haben wir Hinweise erhalten, wonach weitere OnePlus-Modelle mit Android 11 oder 12 betroffen sind. Auf unsere Anfrage vom Donnerstag hat OnePlus bislang leider nicht reagiert. Nicht betroffen war in unseren Versuchen ein OnePlus 6 mit LineageOS.

Googles Kalender-Bug

Aus unerfindlichen Gründen wird das Datum eines Termins stets um einen Monat nach hinten verschoben, wenn der Termin aus einem QR-Code mit der Camera-App eines betroffenen Pixel- und OnePlus-Geräts ausgelesen wird. Gibt es denselben Tag im Folgemonat nicht, schiebt Google den Kalendereintrag um 31 Tage. So wird aus einem Termin am 31. 1. 2022 einer am 3. 3. 2022.

Statt zu https://dasistmega.toll.tt (Trinidad & Tobago) möchte Google Camera-App (vor dem Update) den User zu dasistmega.to (Tonga) schicken.

(Bild: Daniel AJ Sokolov)

Dem nicht genug, Googles Auswertung hat auch die Zeitzonenangabe ignoriert: Die Internet-Kalender-Spezifikation RFC 5545 legt fest, dass der Buchstabe Z nach einer Uhrzeit ("230000Z") bedeutet, dass die Angabe in Weltzeit ist. Googles Algorithmus ignoriert das Z und nimmt Uhrzeiten in jener Lokalzeit an, die auf dem Gerät gerade eingestellt ist.

Diese falsche Interpretation der Uhrzeiten ist bei unseren Tests bis Freitagabend auch mit der App Google Lens aufgetreten, egal, auf welchem Handy. Wer entweder mit der Camera-App auf einem Pixel- oder OnePlus-Handy, oder mit der Google-App Lens, Termine aus QR-Codes in seinen Kalender gespeichert hat, sollte diese Einträge nun überprüfen. Andernfalls droht das Verpassen dieser Termine, wenn sie falsch eingetragen sind.

Updates helfen teilweise ab

In der Nacht auf Samstag hat Google den serverseitig laufenden Algorithmus für die Lens-App aktualisiert, sodass uns Lens seit Samstag korrekte Angaben liefert. Neuinstallationen der App waren an Wochenende übrigens mit mehreren Versuchsgeräten unmöglich: Lens wurde zwar heruntergeladen, konnte dann aber nicht benutzt werden. "Please try again later", bittet die Einblendung.

Beim Aufruf der Kamera blendet Google einen Hinweis auf das Update ein.

(Bild: Daniel AJ Sokolov)

Die Camera-App hingegen wertet Kalender- und Links aus QR-Codes datenschutzfreundlich auf dem Gerät selbst aus, ohne Internetverbindung. Für diese App hat Google in der Nacht auf Samstag ein Update in den Play Store gestellt, das für alle Pixel-Handys mit Android 12 verfügbar ist (App-Versionsnummer beginnend mit 8.4.400). Damit möchte das Unternehmen die Fehler bei der Auswertung von QR-Codes beheben.

Gelungen ist das nur teilweise: Googles Camera-App liest URLs, soweit heise security auf den ersten Blick feststellen konnte, nun korrekt aus. Kalendereinträge aus QR-Codes sind jedoch nach wie vor um 28 bis 31 Tage plus/minus ein paar Stunden falsch. Womöglich liegt dieser Bug nicht in der Kamera-App, sondern beim Google Calender. Sicherheitsrelevant ist dieser Fehler nicht, mag er auch ärgerlich sein.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten