Eine Schwachstelle in Android ermöglicht Apps, auch ohne Erlaubnis durch den Nutzer Anrufe zu tätige. Einem Bericht von Computerworld zufolge hat das Berliner Sicherheitsunternehmen Curesec die Lücke entdeckt. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Die Lücke ist in der im Juni veröffentlichten Version 4.4.4 KitKat geschlossen worden.
Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Auf diese Weise erhalten Nutzer auf bestimmte Funktionen oder Dienste des Mobilfunkanbieters.
“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blog. Der Fehler lässt sich dem Unternehmen zufolge auch nicht durch Tools beheben, die Berechtigungen einzelner Apps kontrollieren oder einschränken können.
Curesec stellt Nutzer eine Test-Anwendung zur Verfügung, die überprüft, ob das Gerät anfällig ist. Dabei versuche die App, die ungültige Rufnummer “31337” anzurufen.
Bereits Ende 2013 hat Curesec Google über die Schwachstelle informiert. Ein Patch hat der Konzern zwar mit Android 4.4.4 veröffentlicht, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. Zwar konnte sich KitKat auf 17,9 Prozent verbessern, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.
Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
SAP S/4HANA-Transformationen sind äußerst komplex und verlaufen oft nicht wie geplant – oder scheitern sogar…
Der Black Friday, der in den USA traditionell am Freitag nach Thanksgiving gefeiert wird, hat…
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…