Eine Schwachstelle in Android ermöglicht Apps, auch ohne Erlaubnis durch den Nutzer Anrufe zu tätige. Einem Bericht von Computerworld zufolge hat das Berliner Sicherheitsunternehmen Curesec die Lücke entdeckt. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Die Lücke ist in der im Juni veröffentlichten Version 4.4.4 KitKat geschlossen worden.
Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Auf diese Weise erhalten Nutzer auf bestimmte Funktionen oder Dienste des Mobilfunkanbieters.
“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blog. Der Fehler lässt sich dem Unternehmen zufolge auch nicht durch Tools beheben, die Berechtigungen einzelner Apps kontrollieren oder einschränken können.
Curesec stellt Nutzer eine Test-Anwendung zur Verfügung, die überprüft, ob das Gerät anfällig ist. Dabei versuche die App, die ungültige Rufnummer “31337” anzurufen.
Bereits Ende 2013 hat Curesec Google über die Schwachstelle informiert. Ein Patch hat der Konzern zwar mit Android 4.4.4 veröffentlicht, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. Zwar konnte sich KitKat auf 17,9 Prozent verbessern, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.
Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.