Android-Bugs geben Malware-Apps freie Hand

Laut einem Forschungsbericht des deutschen Sicherheitsunternehmens Curesec beinhalten nahezu alle Android-Smartphones Bugs, die hinterlistigen Apps erlauben, die Zugriffsrechte, die eigentlich die Aktionen von Apps beschränken, zu ignorieren.

Curesec fand zwei unterschiedliche Android-Bugs, die beide seit Monaten, bzw. sogar Jahren aktiv waren – und immer noch ausgenutzt werden können, um unautorisierte Anrufe zu tätigen. Sie machen die Nutzer angreifbar für Betrüge, bei denen es um Sondernummern mit erhöhtem Tarif geht.

Laut einem Bericht von The Register könnten diese Android-Bugs zudem schädlichen Apps erlauben, Instruktionen an Betreiber zu senden, um Einstellungen auf dem Telefon, wie Rufumleitungen, zu ändern. Und zwar wieder, ohne die Erlaubnis hierfür erteilt bekommen zu haben und auch ohne, dass der Nutzer alarmiert wird.

Android-Bug: Zugriff verweigert

Wie Curesec erklärt, umgehen die Exploits die Zugriffrechte, die eigentlich die Eingriffsmöglichkeiten von Apps einschränken sollen, sodass die Nutzer nicht alarmiert werden, wenn schädliche Apps Anrufe tätigen.

„Normalerweise muss Android Zugriffsrechte gewähren, damit Apps Aktionen durchführen können“, schreiben die Forscher. „Wenn Ihre installierte App nicht das Recht hat, einen Anruf zu tätigen, sollte das Android-Betriebssystem ihr auch den Zugriff verweigern.“

„Dieses Bug umgeht allerdings die Situation und ermöglicht jeder schädlichen App, einen Anruf zu tätigen, (Codes zum Netzwerk) zu senden oder laufende Anrufe zu unterbrechen.“

Wie PC World berichtet, glauben die Forscher von Curesec, dass eines der Bugs im Android Jelly Bean Update eingeführt wurde, das erstmals im Juli 2012 verfügbar war. Das Problem wurde im Android Kit Kat gepatcht – aber bisher wird die neue Software auf nur wenigen Geräten verwendet.

Seit Jahren aktiv

Das andere Android-Bug ist sogar noch älter und wurde vermutlich im Android Gingerbread eingeführt. Zusammengenommen, so kalkuliert The Register, sind rund 87% der derzeitigen Geräte gefährdet, von Malware, die die Exploits ausnutzen, angegriffen zu werden.

Curesec bieten auf ihrer Webseite zwei kostenlose Proof-of-Concept-Apps, mit denen man testen kann, ob das eigene Gerät angreifbar ist.

In ESETs Bericht über die voraussichtlichen Bedrohungstrends für dieses Jahr warnen Experten vor „einem enormen Anstieg der Bedrohungen für Android-Smartphones und -Tablets. ESETs Entdeckungen solcher Malware sind zwischen 2012 und 2013 um 60% gestiegen und dieser Trend wird sich 2014 vermutlich fortsetzen.“

ESETs lateinamerikanisches Forschungslabor in Buenos Aires macht darauf aufmerksam, dass die gegen Android gerichtete Malware mittlerweile klassische PC-Angriffsmethoden nutzt – sowohl in Bezug auf die Entdeckung von Schwachstellen als auch auf deren Ausnutzung durch schädliche Codes.

 

Dankenswerterweise können die meisten dieser Bedrohungen durch einen vorsichtigen Umgang mit dem Gerät umgangen werden. Robert Lipovsky schreibt: „Wir raten Nutzern, sich selbst mithilfe von präventiven  und defensiven Maßnahmen gegen diese Bedrohungen zu schützen. Wenn man gewisse Sicherheitsregeln einhält, wie der, dass man sich von unseriösen Apps und App-Quellen fernhält, kann man das Risiko verringern.“

Autor , We Live Security