Wie der Sicherheitsforscher Jon Oberheide vermutet, der die Lücke bereits Mitte Februar an Google gemeldet hatte, wurde das Loch schon vor etwa einer Woche gestopft. “Seit dem Start des Android Market vor rund einem Jahr war es möglich, aus der Ferne Apps mit beliebigen Rechten auf ein Mobiltelefon aufzuspielen”, schreibt Oberheide, Gründer und Chief Technology Officer von Duo Security, in einem Blog. Ein Opfer müsse lediglich dazu verleitet werden, auf dem Handy oder dem Desktop auf einen manipulierten Link zu klicken.
“Der Exploit funktioniert universell über alle Android-Geräte, Betriebssystemversionen und Architekturen hinweg”, heißt es weiter in dem Blog. Die zugrunde liegende Cross-Site-Scripting-Lücke (XSS) beschreibt Oberheide als eine “niedrig hängende Frucht”. Er sei überrascht, dass niemand vor ihm den Fehler, der in Websites sehr verbreitet sei, gefunden habe.
Die Möglichkeit, von Desktop-Rechnern aus über den Android Market beziehungsweise per Browser Anwendungen an ein Gerät zu schicken, sei sehr bequem, aber auch riskant, so Oberheide. Jede XSS-Lücke könne missbraucht werden, um eine App auf einem Mobiltelefon zu installieren. Da es auf dem Gerät keine Nachfrage oder Bestätigung für Installationsanforderungen gebe, könne ein Angreifer unbemerkt schädliche Anwendungen einspielen. Einzige Voraussetzung sei, dass ein Anwender auf seinem PC oder Mobiltelefon mit einem Google-Konto angemeldet sei.
Oberheide forderte Google auf, in einem Pop-up-Fenster eine Bestätigung des Handybenutzers für App-Downloads einzuholen. Der Android Market sei “nicht von Natur aus unsicher, aber es besteht eine Gefahr, wenn man seinen Computer mit einem Google-Konto und seinem mobilen Gerät verbindet”, sagte Oberheide.
In der vergangenen Woche hatte Google mehr als 50 schädliche Applikationen aus dem Android Market verbannt. Sie werden nun aus der Ferne von den rund 260.000 Android-Handys gelöscht, die die Apps heruntergeladen hatten. Eine Sicherheitslösung von Google, die sich automatisch installiert, soll die Spuren der Malware entfernen.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.