Anzeige
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen.
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen. (Bild: Curesec)

Android-Schwachstelle: Bösartige Apps können unberechtigt telefonieren

Über eine Schwachstelle in Android können Apps Telefonverbindungen aufbauen oder bestehende kappen. Außerdem können sie USSD-Codes ausführen.

Anzeige

Das Berliner Sicherheitsunternehmen Curesec hat eine weitere Schwachstelle in Googles Android-Betriebssystem entdeckt. Darüber können bösartige Apps Telefonverbindungen aufbauen oder abbrechen. Außerdem können sie auch ohne Berechtigungen sogenannte USSD-Codes ausführen, die unter anderem tief ins System eingreifen können. Nach Recherchen Curesecs sind sämtliche Versionen von 4.1.1 bis einschließlich 4.4.2 betroffen.

Die Schwachstelle beruht auf zu lockeren Berechtigungen in der Klasse NotificationBroadcastReceiver. Generell haben Apps die Berechtigung, auf die Funktionen ACTION_HANG_UP_ONGOING_CALL und ACTION_CALL_BACK_FROM_NOTIFICATION zuzugreifen. Letzterer ruft die Funktion ACTION_CALL_PRIVILEGED auf, die es ermöglicht, eine Telefonverbindung aufzubauen. Zwar bekomme der Besitzer des Smartphones zumindest angezeigt, wenn eine App versuche zu telefonieren. Allerdings könne die bösartige App beispielsweise so programmiert werden, dass sie Verbindungen in den Nachtstunden aufbaut, gibt Marco Lux zu bedenken, der zusammen mit Pedro Umbelino die Schwachstelle untersucht hat. Über die Funktion ACTION_SEND_SMS_FROM_NOTIFICATION könnte eine App auch SMS versenden. Hier müsse der Benutzer aber selbst eingreifen, daher sei diese Schwachstelle am wenigsten interessant.

Zugriff auf USSDs

Über die Schwachstelle können Apps auch USSDs - die internen Systembefehle unter Android - über die Telefonfunktion auslösen, deren Ausführung normalerweise per Eingabetaste bestätigt werden muss. Dadurch könnte eine App Zugriff auf tiefgreifende Funktionen eines Smartphones erhalten, selbst auf die SIM-Karte. Hier gebe es noch einigen Recherchebedarf, sagte Lux. Noch sei unklar, welche Codes tatsächlich funktionieren und welche nicht. Beispielsweise konnten die Sicherheitsforscher über den Bug die IMEI nicht auslesen. Auch seien die Codes teils hersteller- und providerabhängig, gibt Lux zu bedenken. Tatsächlich könnte der unkontrollierte Zugriff auf die USSDs noch schwerwiegendere Folgen für den Benutzer haben als nur den unerlaubten Aufbau einer kostenpflichtigen Telefonverbindung.

Cureces hatte Google bereits Ende Oktober 2013 über die Schwachstelle informiert. Ende Januar berichtete Google, dass ein Patch erarbeitet sei und integriert werden würde. Laut Curesec sei der Fehler jedoch lediglich in den aktuelleren Versionen 4.4.3 und 4.4.4 von Android behoben. In den anderen Versionen bestehe er weiterhin. Deshalb habe sich Curesec entschlossen, den Fehler (CVE-2013-6272) publik zu machen.

Kein Schutz möglich

Der Anwender könne gegen die Schwachstelle nichts tun, sagte Lux zu Golem.de. Selbst eine Überprüfung der Berechtigungen einer App hilft nichts, da der Bug einen unberechtigten Zugang zur Telefonfunktion ermögliche. Es gebe auch keine Werkzeuge, mit denen solche Berechtigungen für einzelne Apps gesperrt werden können. Google könne zwar Apps im Play Store daraufhin untersuchen, ob sie diese Schwachstelle ausnutzen, das sei aber ein kompliziertes Verfahren, sagte Lux Golem.de.

Curesec hat zu dem Fehler ein Proof-of-Concept veröffentlicht. In einer App lässt sich die Schwachstelle überprüfen.


eye home zur Startseite
Demon666 10. Jul 2014

Wäre es nicht sinnvoll - gerade da die Koryphäen wie Leutheusser-Schnarrenberger, Schaar...

Lala Satalin... 10. Jul 2014

Welches HTC One ist das? M7 oder M8? Wenn schon, dann bitte präzise!

Kommentieren



Anzeige

  1. Technical Lead New Venture (m/w)
    über DHR International NEUMANN, Salzburg (Österreich)
  2. Netzwerkadministrator (m/w) Schwerpunkt Firewall
    Hemmersbach, Nürnberg
  3. Berater SAP (m/w)
    AOK Systems GmbH, Bonn
  4. Ingenieur (m/w) Test und Entwicklung Elektronikzubehör Automotive USA
    FORMEL D, Spartanburg und New Jersey (USA)

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€
  2. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)
  3. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)

Weitere Angebote


Folgen Sie uns
       


  1. Medizin

    Tricorderartiger Sensor erfasst Vitaldaten

  2. TG-Tracker

    Sensorbeladene Olympus-Actionkamera mit 4K-Aufnahme

  3. Trotz Unterlassungserklärung

    Unitymedia bleibt im Streit um WLAN-Hotspots hart

  4. Auftragshersteller

    Apple soll Bestellungen für iPhone 7 stark erhöht haben

  5. TSST-K

    Ungewisse Zukunft für einen der letzten ODD-Anbieter

  6. Google und Starbreeze als Partner

    Imax arbeitet an VR-Kamera und VR-Kinos

  7. Scramjet

    Hyperschalltriebwerk erfolgreich getestet

  8. Apple

    Beta von iOS 9.3.3 und OS X 10.11.6 veröffentlicht

  9. Regulierbare Farbtemperatur

    Philips Hue White Ambiance jetzt im Handel

  10. Spotify Family

    Musikstreamingdienst wird günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Summit Ridge AMD zeigt Wafer mit Zen-CPUs
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

  1. Re: Qualität ist zu schlecht.

    nille02 | 11:43

  2. Re: Na endlich

    Lala Satalin... | 11:43

  3. Re: Natürlich bedeutet Traffic einen erhöhten...

    User_x | 11:42

  4. Re: ist ok

    dev_null | 11:42

  5. Re: Verschandelung der Umgebung!

    |=H | 11:41


  1. 11:38

  2. 11:28

  3. 11:10

  4. 10:43

  5. 10:34

  6. 09:44

  7. 09:00

  8. 07:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel