Android: Viele Apps verwenden Google-Bibliothek mit Sicherheitslücke

Die Lücke wurde bereits im März gepatcht, dennoch setzen viele Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

Artikel veröffentlicht am ,
Treffen sich zwei Androiden ...
Treffen sich zwei Androiden ... (Bild: andrekheren/Pixabay)

Viele populäre Apps verwenden eine völlig veraltete Version der Play-Core-Bibliothek - diese enthält jedoch eine Sicherheitslücke. Mit dieser können Apps auf die Daten von anderen Apps zugreifen oder die App verändern. Beispielsweise lassen sich Nachrichten von Messengern oder Banking-Apps abgreifen - aber auch alle anderen App-Daten. Dabei ist die Sicherheitslücke seit August bekannt und bereits seit März gepatcht.

Stellenmarkt
  1. Space Application Test-System Entwickler (m/f/d)
    Astos Solutions GmbH, Stuttgart
  2. IT-Netzwerkadministrator (m/w/d)
    DRK Landesverband Rheinland-Pfalz e.V., Mainz
Detailsuche

Laut der Sicherheitsfirma Checkpoint sind bis heute etliche Apps im Googles Play Store von der Sicherheitslücke betroffen. Darunter die Dating-App Okcupid, Microsofts Edge Browser für Android sowie die Navigations-App Moovit. Ebenfalls betroffen waren Cisco Webex Teams, Booking.com und die Dating-App Grindr, diese haben ihre Apps jedoch bereits aktualisiert.

Veröffentlicht wurde die Sicherheitslücke (CVE-2020-8913) bereits im August durch die Sicherheitsfirma Oversecured. Eine installierte Schad-App kann mit der Sicherheitslücke Schadcode in andere Apps injizieren und auf alle App-Daten zugreifen. Auf diese Weise können beispielsweise Passwörter, Fotos, 2FA-Codes und vieles mehr ausgelesen werden.

"Die Schwachstelle ermöglicht es einem Bedrohungsakteur, bösartigen Code in anfällige Anwendungen einzuschleusen und damit Zugang zu allen Ressourcen auf dem Telefon des Benutzers zu gewähren, die auch in der Hosting-Anwendung vorhanden sind", erklärt Checkpoint. Das Ausnützen der Lücke sei recht trivial. Der schwierigste Schritt dürfte es sein, die betroffene Person zum Installieren einer entsprechenden Schad-App zu bewegen.

Im September waren 8 % der Apps im Play Store verwundbar

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Google hat die Sicherheitslücke bereits im März mit der Version 1.7.2 von Play Core geschlossen. Viele App-Entwickler haben die Bibliothek in ihrer App jedoch seit Monaten nicht aktualisiert. Bei einem Scan im September haben 13 Prozent der Apps im Play Store die Play-Core-Bibliothek verwendet, nur 5 Prozent verwendeten eine aktualisierte Version, während 8 Prozent eine über sechs Monate alte, von der Sicherheitslücke betroffene Version einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Videoschalte: VW-Chef spricht mit Elon Musk auf eigenem Managertreffen
    Videoschalte
    VW-Chef spricht mit Elon Musk auf eigenem Managertreffen

    Tesla-Chef Elon Musk hat auf Einladung von VW-Chef Herbert Diess an einem Treffen von Führungskräften teilgenommen und gab ihnen viele Tipps.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /