Abo
  • IT-Karriere:

Android-Schwachstelle: Bösartige Apps können unberechtigt telefonieren

Über eine Schwachstelle in Android können Apps Telefonverbindungen aufbauen oder bestehende kappen. Außerdem können sie USSD-Codes ausführen.

Artikel veröffentlicht am ,
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen.
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen. (Bild: Curesec)

Das Berliner Sicherheitsunternehmen Curesec hat eine weitere Schwachstelle in Googles Android-Betriebssystem entdeckt. Darüber können bösartige Apps Telefonverbindungen aufbauen oder abbrechen. Außerdem können sie auch ohne Berechtigungen sogenannte USSD-Codes ausführen, die unter anderem tief ins System eingreifen können. Nach Recherchen Curesecs sind sämtliche Versionen von 4.1.1 bis einschließlich 4.4.2 betroffen.

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. Landkreis Märkisch-Oderland, Seelow

Die Schwachstelle beruht auf zu lockeren Berechtigungen in der Klasse NotificationBroadcastReceiver. Generell haben Apps die Berechtigung, auf die Funktionen ACTION_HANG_UP_ONGOING_CALL und ACTION_CALL_BACK_FROM_NOTIFICATION zuzugreifen. Letzterer ruft die Funktion ACTION_CALL_PRIVILEGED auf, die es ermöglicht, eine Telefonverbindung aufzubauen. Zwar bekomme der Besitzer des Smartphones zumindest angezeigt, wenn eine App versuche zu telefonieren. Allerdings könne die bösartige App beispielsweise so programmiert werden, dass sie Verbindungen in den Nachtstunden aufbaut, gibt Marco Lux zu bedenken, der zusammen mit Pedro Umbelino die Schwachstelle untersucht hat. Über die Funktion ACTION_SEND_SMS_FROM_NOTIFICATION könnte eine App auch SMS versenden. Hier müsse der Benutzer aber selbst eingreifen, daher sei diese Schwachstelle am wenigsten interessant.

Zugriff auf USSDs

Über die Schwachstelle können Apps auch USSDs - die internen Systembefehle unter Android - über die Telefonfunktion auslösen, deren Ausführung normalerweise per Eingabetaste bestätigt werden muss. Dadurch könnte eine App Zugriff auf tiefgreifende Funktionen eines Smartphones erhalten, selbst auf die SIM-Karte. Hier gebe es noch einigen Recherchebedarf, sagte Lux. Noch sei unklar, welche Codes tatsächlich funktionieren und welche nicht. Beispielsweise konnten die Sicherheitsforscher über den Bug die IMEI nicht auslesen. Auch seien die Codes teils hersteller- und providerabhängig, gibt Lux zu bedenken. Tatsächlich könnte der unkontrollierte Zugriff auf die USSDs noch schwerwiegendere Folgen für den Benutzer haben als nur den unerlaubten Aufbau einer kostenpflichtigen Telefonverbindung.

Cureces hatte Google bereits Ende Oktober 2013 über die Schwachstelle informiert. Ende Januar berichtete Google, dass ein Patch erarbeitet sei und integriert werden würde. Laut Curesec sei der Fehler jedoch lediglich in den aktuelleren Versionen 4.4.3 und 4.4.4 von Android behoben. In den anderen Versionen bestehe er weiterhin. Deshalb habe sich Curesec entschlossen, den Fehler (CVE-2013-6272) publik zu machen.

Kein Schutz möglich

Der Anwender könne gegen die Schwachstelle nichts tun, sagte Lux zu Golem.de. Selbst eine Überprüfung der Berechtigungen einer App hilft nichts, da der Bug einen unberechtigten Zugang zur Telefonfunktion ermögliche. Es gebe auch keine Werkzeuge, mit denen solche Berechtigungen für einzelne Apps gesperrt werden können. Google könne zwar Apps im Play Store daraufhin untersuchen, ob sie diese Schwachstelle ausnutzen, das sei aber ein kompliziertes Verfahren, sagte Lux Golem.de.

Curesec hat zu dem Fehler ein Proof-of-Concept veröffentlicht. In einer App lässt sich die Schwachstelle überprüfen.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. (-78%) 2,20€

Demon666 10. Jul 2014

Wäre es nicht sinnvoll - gerade da die Koryphäen wie Leutheusser-Schnarrenberger, Schaar...

Lala Satalin... 10. Jul 2014

Welches HTC One ist das? M7 oder M8? Wenn schon, dann bitte präzise!


Folgen Sie uns
       


Sonos Move ausprobiert (Ifa 2019)

Wir haben den Move ausprobiert, Sonos' ersten Lautsprecher mit Akku, Bluetooth-Zuspielung und Auto-Trueplay.

Sonos Move ausprobiert (Ifa 2019) Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

    •  /