StrandHogg: Fehler im Multitasking von Android könnte Malware Tür und Tor öffnen
Schadcode soll sich hinter legitimen Apps verstecken und so Berechtigungen zum Spionieren einfordern können. Trotz Angriffen gibt es noch keinen Patch.
Sicherheitsforscher von Promon warnen vor einer Malware, die an einer Schwachstelle im Multitasking-System von Android ansetzen kann. Davon sollen alle Android-Versionen bis zur aktuellen Ausgabe 10 betroffen sein.
Nutzen Angreifer die Lücke aus, könnten sie unter bestimmten Voraussetzungen beispielsweise Mikrofone von Smartphones anzapfen und Passwörter mitschneiden. Promon warnt vor aktuell laufenden Attacken dieser Art. Google soll über die StrandHogg getaufte Verwundbarkeit Bescheid wissen, bislang ist den Sicherheitsforschern zufolge aber noch kein Sicherheitsupdate angekündigt. Die Angriffe sollen bei knapp 94 Prozent der populärsten Apps in Google Play funktionieren. Die Sicherheitsforscher nennen aber keine konkreten Namen.
Voraussetzungen für Attacke
Eine Attacke ist aber nicht ohne Weiteres möglich und es muss sich bereits Schadcode auf Geräten befinden. In Google Play soll es legitime Apps gegeben haben, die diesen Schadcode als Zusatzmodul mitbringen, führen die Sicherheitsforscher in einer Meldung aus. Welche Apps das im Detail sind, steht dort aber nicht. Google soll sie bereits offline genommen haben. Die Sicherheitsforscher gehen aber davon aus, dass solche "Dropper Apps" jederzeit wieder in Google Play auftauchen könnten.
Ist die Malware erst mal auf einem Gerät, könnten Angreifer diese aus der Ferne attackieren. Das soll ohne Root-Rechte möglich sein. Dabei setzen sie an einer Schwachstelle im Multitasking-Ansatz von Android an. Für die Lücke wurde offensichtlich noch keine CVE-Nummer vergeben. Auch eine Bewertung des Angriffsrisikos sucht man vergebens – die Zeichen deuten aber alle auf "kritisch".
Was passiert?
Öffnet ein Anbieter eine legitime App, soll sich der Schadcode im Multitasking-System dazwischenschalten können und so als legitime App getarnt Berechtigungen einfordern. So könnten Angreifer beispielsweise Zugriff auf die Kamera bekommen und das Opfer ahnt wegen dem Tarnmantel der legitimen App nichts Böses. Alternativ könnten Angreifer über diesen Weg auch Log-in-Bildschirme ersetzen und so Zugangsdaten über eigene Phishing-Formulare abfangen. Promon gibt an, konkrete Beweise zu haben, dass Angreifer das bereits aktiv ausnutzen.
Der Exploit zielt auf die Multitasking-Funktion taskAffinity ab. Darüber können Apps im Multitasking-System beliebige Identitäten annehmen. Gepaart mit weiteren Funktionen kann sich so Schadcode im Kontext von legitimen Apps in den Vordergrund drängen. Davon sollen Nutzer den Sicherheitsforschern zufolge nichts mitbekommen. Weitere Details zu möglichen Angriffen erläutern sie in einem ausführlichen Bericht.
[UPDATE, 04.12.2019 10:40 Uhr]
Für eine erfolgreiche Attacke sollen keine Root-Rechte vonnöten sein. Fließtext ergänzt. (des)