Abo
  • Services:
Anzeige
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen.
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen. (Bild: Curesec)

Android-Schwachstelle: Bösartige Apps können unberechtigt telefonieren

Über eine Schwachstelle in Android können Apps Telefonverbindungen aufbauen oder bestehende kappen. Außerdem können sie USSD-Codes ausführen.

Anzeige

Das Berliner Sicherheitsunternehmen Curesec hat eine weitere Schwachstelle in Googles Android-Betriebssystem entdeckt. Darüber können bösartige Apps Telefonverbindungen aufbauen oder abbrechen. Außerdem können sie auch ohne Berechtigungen sogenannte USSD-Codes ausführen, die unter anderem tief ins System eingreifen können. Nach Recherchen Curesecs sind sämtliche Versionen von 4.1.1 bis einschließlich 4.4.2 betroffen.

Die Schwachstelle beruht auf zu lockeren Berechtigungen in der Klasse NotificationBroadcastReceiver. Generell haben Apps die Berechtigung, auf die Funktionen ACTION_HANG_UP_ONGOING_CALL und ACTION_CALL_BACK_FROM_NOTIFICATION zuzugreifen. Letzterer ruft die Funktion ACTION_CALL_PRIVILEGED auf, die es ermöglicht, eine Telefonverbindung aufzubauen. Zwar bekomme der Besitzer des Smartphones zumindest angezeigt, wenn eine App versuche zu telefonieren. Allerdings könne die bösartige App beispielsweise so programmiert werden, dass sie Verbindungen in den Nachtstunden aufbaut, gibt Marco Lux zu bedenken, der zusammen mit Pedro Umbelino die Schwachstelle untersucht hat. Über die Funktion ACTION_SEND_SMS_FROM_NOTIFICATION könnte eine App auch SMS versenden. Hier müsse der Benutzer aber selbst eingreifen, daher sei diese Schwachstelle am wenigsten interessant.

Zugriff auf USSDs

Über die Schwachstelle können Apps auch USSDs - die internen Systembefehle unter Android - über die Telefonfunktion auslösen, deren Ausführung normalerweise per Eingabetaste bestätigt werden muss. Dadurch könnte eine App Zugriff auf tiefgreifende Funktionen eines Smartphones erhalten, selbst auf die SIM-Karte. Hier gebe es noch einigen Recherchebedarf, sagte Lux. Noch sei unklar, welche Codes tatsächlich funktionieren und welche nicht. Beispielsweise konnten die Sicherheitsforscher über den Bug die IMEI nicht auslesen. Auch seien die Codes teils hersteller- und providerabhängig, gibt Lux zu bedenken. Tatsächlich könnte der unkontrollierte Zugriff auf die USSDs noch schwerwiegendere Folgen für den Benutzer haben als nur den unerlaubten Aufbau einer kostenpflichtigen Telefonverbindung.

Cureces hatte Google bereits Ende Oktober 2013 über die Schwachstelle informiert. Ende Januar berichtete Google, dass ein Patch erarbeitet sei und integriert werden würde. Laut Curesec sei der Fehler jedoch lediglich in den aktuelleren Versionen 4.4.3 und 4.4.4 von Android behoben. In den anderen Versionen bestehe er weiterhin. Deshalb habe sich Curesec entschlossen, den Fehler (CVE-2013-6272) publik zu machen.

Kein Schutz möglich

Der Anwender könne gegen die Schwachstelle nichts tun, sagte Lux zu Golem.de. Selbst eine Überprüfung der Berechtigungen einer App hilft nichts, da der Bug einen unberechtigten Zugang zur Telefonfunktion ermögliche. Es gebe auch keine Werkzeuge, mit denen solche Berechtigungen für einzelne Apps gesperrt werden können. Google könne zwar Apps im Play Store daraufhin untersuchen, ob sie diese Schwachstelle ausnutzen, das sei aber ein kompliziertes Verfahren, sagte Lux Golem.de.

Curesec hat zu dem Fehler ein Proof-of-Concept veröffentlicht. In einer App lässt sich die Schwachstelle überprüfen.


eye home zur Startseite
Demon666 10. Jul 2014

Wäre es nicht sinnvoll - gerade da die Koryphäen wie Leutheusser-Schnarrenberger, Schaar...

Lala Satalin... 10. Jul 2014

Welches HTC One ist das? M7 oder M8? Wenn schon, dann bitte präzise!



Anzeige

Stellenmarkt
  1. ServiceXpert GmbH, München
  2. über Hanseatisches Personalkontor Osnabrück, Westmünsterland
  3. MOBIL ELEKTRONIK GMBH, Langenbeutingen
  4. SCHOTT AG, Mitterteich


Anzeige
Spiele-Angebote
  1. 6,99€
  2. (-5%) 47,49€

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Was ist mit Acer?

    p4m | 02:38

  2. Re: SPD müsse sich erneuern?

    Ach | 02:35

  3. Re: Wird auch die CDU- und CSU-Basis befragt ob...

    p4m | 02:35

  4. Re: das NetzDG ist eh unvollständig

    teenriot* | 02:29

  5. Re: Head of Problem !!

    Der Held vom... | 02:27


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel