• IT-Karriere:
  • Services:

Android: Viele Apps verwenden Google-Bibliothek mit Sicherheitslücke

Die Lücke wurde bereits im März gepatcht, dennoch setzen viele Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

Artikel veröffentlicht am ,
Treffen sich zwei Androiden ...
Treffen sich zwei Androiden ... (Bild: andrekheren/Pixabay)

Viele populäre Apps verwenden eine völlig veraltete Version der Play-Core-Bibliothek - diese enthält jedoch eine Sicherheitslücke. Mit dieser können Apps auf die Daten von anderen Apps zugreifen oder die App verändern. Beispielsweise lassen sich Nachrichten von Messengern oder Banking-Apps abgreifen - aber auch alle anderen App-Daten. Dabei ist die Sicherheitslücke seit August bekannt und bereits seit März gepatcht.

Stellenmarkt
  1. Regierungspräsidium Karlsruhe, Karlsruhe
  2. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)

Laut der Sicherheitsfirma Checkpoint sind bis heute etliche Apps im Googles Play Store von der Sicherheitslücke betroffen. Darunter die Dating-App Okcupid, Microsofts Edge Browser für Android sowie die Navigations-App Moovit. Ebenfalls betroffen waren Cisco Webex Teams, Booking.com und die Dating-App Grindr, diese haben ihre Apps jedoch bereits aktualisiert.

Veröffentlicht wurde die Sicherheitslücke (CVE-2020-8913) bereits im August durch die Sicherheitsfirma Oversecured. Eine installierte Schad-App kann mit der Sicherheitslücke Schadcode in andere Apps injizieren und auf alle App-Daten zugreifen. Auf diese Weise können beispielsweise Passwörter, Fotos, 2FA-Codes und vieles mehr ausgelesen werden.

"Die Schwachstelle ermöglicht es einem Bedrohungsakteur, bösartigen Code in anfällige Anwendungen einzuschleusen und damit Zugang zu allen Ressourcen auf dem Telefon des Benutzers zu gewähren, die auch in der Hosting-Anwendung vorhanden sind", erklärt Checkpoint. Das Ausnützen der Lücke sei recht trivial. Der schwierigste Schritt dürfte es sein, die betroffene Person zum Installieren einer entsprechenden Schad-App zu bewegen.

Im September waren 8 % der Apps im Play Store verwundbar

Google hat die Sicherheitslücke bereits im März mit der Version 1.7.2 von Play Core geschlossen. Viele App-Entwickler haben die Bibliothek in ihrer App jedoch seit Monaten nicht aktualisiert. Bei einem Scan im September haben 13 Prozent der Apps im Play Store die Play-Core-Bibliothek verwendet, nur 5 Prozent verwendeten eine aktualisierte Version, während 8 Prozent eine über sechs Monate alte, von der Sicherheitslücke betroffene Version einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Inno3D GeForce RTX 3090 Gaming X3 für 1.724€)

Dystopinator 05. Dez 2020 / Themenstart

Daten an derart einfach kompromittierbare Systeme so einfach zu übermitteln?

Dystopinator 05. Dez 2020 / Themenstart

dass man sich damit unbeliebter macht als nur einmal gleich fehlerlos zu liefern ist wohl...

Kommentieren


Folgen Sie uns
       


Watch Dogs Legion - Raytracing im Vergleich

Wir zeigen die Auswirkungen von Raytracing-Spiegelungen im integrierten Benchmark von Watch Dogs Legion. Dort wie im Spiel reflektieren Wasserfläche, etwa Pfützen, sowie Glas und Metall - also Fenster oder Fahrzeuge - die Umgebung dynamisch in Echtzeit.

Watch Dogs Legion - Raytracing im Vergleich Video aufrufen
Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
Whatsapp
Überfällige Datenschutzabstimmung mit den Füßen

Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
Ein IMHO von Friedhelm Greis

  1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
  2. Facebook Whatsapp stellt Nutzern ein Ultimatum
  3. Watchchat Whatsapp mit der Apple Watch bedienen

Antivirus: Das Jahr der unsicheren Sicherheitssoftware
Antivirus
Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

  1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira

Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

    •  /