Abo
  • Services:

Android-Schwachstelle: Bösartige Apps können unberechtigt telefonieren

Über eine Schwachstelle in Android können Apps Telefonverbindungen aufbauen oder bestehende kappen. Außerdem können sie USSD-Codes ausführen.

Artikel veröffentlicht am ,
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen.
Über eine Schwachstelle in Android können Apps unerlaubt auf die Telefonfunktion zugreifen. (Bild: Curesec)

Das Berliner Sicherheitsunternehmen Curesec hat eine weitere Schwachstelle in Googles Android-Betriebssystem entdeckt. Darüber können bösartige Apps Telefonverbindungen aufbauen oder abbrechen. Außerdem können sie auch ohne Berechtigungen sogenannte USSD-Codes ausführen, die unter anderem tief ins System eingreifen können. Nach Recherchen Curesecs sind sämtliche Versionen von 4.1.1 bis einschließlich 4.4.2 betroffen.

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Sankt Wendel
  2. Schaeffler AG, Herzogenaurach

Die Schwachstelle beruht auf zu lockeren Berechtigungen in der Klasse NotificationBroadcastReceiver. Generell haben Apps die Berechtigung, auf die Funktionen ACTION_HANG_UP_ONGOING_CALL und ACTION_CALL_BACK_FROM_NOTIFICATION zuzugreifen. Letzterer ruft die Funktion ACTION_CALL_PRIVILEGED auf, die es ermöglicht, eine Telefonverbindung aufzubauen. Zwar bekomme der Besitzer des Smartphones zumindest angezeigt, wenn eine App versuche zu telefonieren. Allerdings könne die bösartige App beispielsweise so programmiert werden, dass sie Verbindungen in den Nachtstunden aufbaut, gibt Marco Lux zu bedenken, der zusammen mit Pedro Umbelino die Schwachstelle untersucht hat. Über die Funktion ACTION_SEND_SMS_FROM_NOTIFICATION könnte eine App auch SMS versenden. Hier müsse der Benutzer aber selbst eingreifen, daher sei diese Schwachstelle am wenigsten interessant.

Zugriff auf USSDs

Über die Schwachstelle können Apps auch USSDs - die internen Systembefehle unter Android - über die Telefonfunktion auslösen, deren Ausführung normalerweise per Eingabetaste bestätigt werden muss. Dadurch könnte eine App Zugriff auf tiefgreifende Funktionen eines Smartphones erhalten, selbst auf die SIM-Karte. Hier gebe es noch einigen Recherchebedarf, sagte Lux. Noch sei unklar, welche Codes tatsächlich funktionieren und welche nicht. Beispielsweise konnten die Sicherheitsforscher über den Bug die IMEI nicht auslesen. Auch seien die Codes teils hersteller- und providerabhängig, gibt Lux zu bedenken. Tatsächlich könnte der unkontrollierte Zugriff auf die USSDs noch schwerwiegendere Folgen für den Benutzer haben als nur den unerlaubten Aufbau einer kostenpflichtigen Telefonverbindung.

Cureces hatte Google bereits Ende Oktober 2013 über die Schwachstelle informiert. Ende Januar berichtete Google, dass ein Patch erarbeitet sei und integriert werden würde. Laut Curesec sei der Fehler jedoch lediglich in den aktuelleren Versionen 4.4.3 und 4.4.4 von Android behoben. In den anderen Versionen bestehe er weiterhin. Deshalb habe sich Curesec entschlossen, den Fehler (CVE-2013-6272) publik zu machen.

Kein Schutz möglich

Der Anwender könne gegen die Schwachstelle nichts tun, sagte Lux zu Golem.de. Selbst eine Überprüfung der Berechtigungen einer App hilft nichts, da der Bug einen unberechtigten Zugang zur Telefonfunktion ermögliche. Es gebe auch keine Werkzeuge, mit denen solche Berechtigungen für einzelne Apps gesperrt werden können. Google könne zwar Apps im Play Store daraufhin untersuchen, ob sie diese Schwachstelle ausnutzen, das sei aber ein kompliziertes Verfahren, sagte Lux Golem.de.

Curesec hat zu dem Fehler ein Proof-of-Concept veröffentlicht. In einer App lässt sich die Schwachstelle überprüfen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

Demon666 10. Jul 2014

Wäre es nicht sinnvoll - gerade da die Koryphäen wie Leutheusser-Schnarrenberger, Schaar...

Lala Satalin... 10. Jul 2014

Welches HTC One ist das? M7 oder M8? Wenn schon, dann bitte präzise!


Folgen Sie uns
       


Kingdom Hearts 3 - Test

Das Actionspiel Kingdom Hearts 3 von Square Enix bietet schöne und stimmige Abenteuer in vielen unterschiedlichen Welten von Disney.

Kingdom Hearts 3 - Test Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
Begriffe, Architekturen, Produkte
Große Datenmengen in Echtzeit analysieren

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. Urteil Lärm-Tempolimits gelten auch für Elektroautos
    2. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
    3. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen

      •  /