Android: Bug ermöglicht Apps Anrufe bei Premium-Diensten

Eine Schwachstelle in Android ermöglicht Apps, auch ohne Erlaubnis durch den Nutzer Anrufe zu tätige. Einem Bericht von Computerworld zufolge hat das Berliner Sicherheitsunternehmen Curesec die Lücke entdeckt. Betroffen sind die Versionen 4.1.x Jelly Bean und neuer. Die Lücke ist in der im Juni veröffentlichten Version 4.4.4 KitKat geschlossen worden.

Wie Curesec erklärt, können Apps beispielsweise Premium-Dienste anrufen, ohne das eine Interaktion mit einem Nutzer stattgefunden hat. Zudem können laufende Telefonate beendet werden. Computerworld berichtet weiter, dass der Fehler die Sicherheitsbeschränkungen von Android umgehe. In der Regel können Apps ohne die Berechtigung “Call_Phone” keine Telefonnummern wählen.

Der Fehler lässt sich aber auch ausnutzen, um USSD-Codes (Unstructured Supplementary Service Data), SS-Codes (Supplementary Service) oder herstellerspezifische MMI-Codes (Man-Machine Interface) auszuführen. Diese Codes werden über die Zahlentastatur eingegeben. Sie beginnen mit einem Sternchen (*) und enden mit einem Rautezeichen (#). Auf diese Weise erhalten Nutzer auf bestimmte Funktionen oder Dienste des Mobilfunkanbieters.

“Die Liste der USSD/SS/MMI-Codes ist lang und es gibt einige sehr wichtige, wie für die Rufweiterleitung oder das Sperren der SIM-Karte”, schreibt Curesec-CEO Marco Laux in einem Blog. Der Fehler lässt sich dem Unternehmen zufolge auch nicht durch Tools beheben, die Berechtigungen einzelner Apps kontrollieren oder einschränken können.

Curesec stellt Nutzer eine Test-Anwendung zur Verfügung, die überprüft, ob das Gerät anfällig ist. Dabei versuche die App, die ungültige Rufnummer “31337” anzurufen.

Bereits Ende 2013 hat Curesec Google über die Schwachstelle informiert. Ein Patch hat der Konzern zwar mit Android 4.4.4 veröffentlicht, dennoch sind viele Geräte weiterhin anfällig. Laut aktuellen Zahlen von Google hat Android Jelly Bean (4.1.x, 4.2.x und 4.3) einen Marktanteil von 56,5 Prozent. Zwar konnte sich KitKat auf 17,9 Prozent verbessern, aber auch darin sind anfällige Geräte enthalten, da Android 4.4.4 noch nicht für alle Smartphones und Tablets zur Verfügung steht, auf denen KitKat läuft.

Es ist nicht das erste Mal, dass Curesec einen Bug in Android entdeckt hat. Im Dezember 2013 meldete das Unternehmen einen Fehler in Android 4.3 Jelly Bean, der die Gerätesperre unwirksam machte. Er ließ sich allerdings nur durch eine manipulierte App und nicht beispielsweise durch den Besuch einer Website ausnutzen.

Auf einem Motorola Moto G mit einer aktuellen Nightly-Version von Cyanogenmod 11 lässt sich laut Tests von ZDNet die Lücke mit der von Curesec bereitgestellten Test-Anwendung nicht mehr ausnutzen (Screenshot: ZDNet).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

18 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

19 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

20 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago