Android: Viele Apps verwenden Google-Bibliothek mit Sicherheitslücke

Die Lücke wurde bereits im März gepatcht, dennoch setzen viele Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

Artikel veröffentlicht am ,
Treffen sich zwei Androiden ...
Treffen sich zwei Androiden ... (Bild: andrekheren/Pixabay)

Viele populäre Apps verwenden eine völlig veraltete Version der Play-Core-Bibliothek - diese enthält jedoch eine Sicherheitslücke. Mit dieser können Apps auf die Daten von anderen Apps zugreifen oder die App verändern. Beispielsweise lassen sich Nachrichten von Messengern oder Banking-Apps abgreifen - aber auch alle anderen App-Daten. Dabei ist die Sicherheitslücke seit August bekannt und bereits seit März gepatcht.

Stellenmarkt
  1. Fachinformatiker (m/w/d)
    ZTG Zentrum für Telematik und Telemedizin GmbH, Hagen
  2. Webentwickler (m/w/d) eGovernment
    Landratsamt Dachau, Dachau
Detailsuche

Laut der Sicherheitsfirma Checkpoint sind bis heute etliche Apps im Googles Play Store von der Sicherheitslücke betroffen. Darunter die Dating-App Okcupid, Microsofts Edge Browser für Android sowie die Navigations-App Moovit. Ebenfalls betroffen waren Cisco Webex Teams, Booking.com und die Dating-App Grindr, diese haben ihre Apps jedoch bereits aktualisiert.

Veröffentlicht wurde die Sicherheitslücke (CVE-2020-8913) bereits im August durch die Sicherheitsfirma Oversecured. Eine installierte Schad-App kann mit der Sicherheitslücke Schadcode in andere Apps injizieren und auf alle App-Daten zugreifen. Auf diese Weise können beispielsweise Passwörter, Fotos, 2FA-Codes und vieles mehr ausgelesen werden.

"Die Schwachstelle ermöglicht es einem Bedrohungsakteur, bösartigen Code in anfällige Anwendungen einzuschleusen und damit Zugang zu allen Ressourcen auf dem Telefon des Benutzers zu gewähren, die auch in der Hosting-Anwendung vorhanden sind", erklärt Checkpoint. Das Ausnützen der Lücke sei recht trivial. Der schwierigste Schritt dürfte es sein, die betroffene Person zum Installieren einer entsprechenden Schad-App zu bewegen.

Im September waren 8 % der Apps im Play Store verwundbar

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Google hat die Sicherheitslücke bereits im März mit der Version 1.7.2 von Play Core geschlossen. Viele App-Entwickler haben die Bibliothek in ihrer App jedoch seit Monaten nicht aktualisiert. Bei einem Scan im September haben 13 Prozent der Apps im Play Store die Play-Core-Bibliothek verwendet, nur 5 Prozent verwendeten eine aktualisierte Version, während 8 Prozent eine über sechs Monate alte, von der Sicherheitslücke betroffene Version einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Dystopinator 05. Dez 2020

Daten an derart einfach kompromittierbare Systeme so einfach zu übermitteln?

Dystopinator 05. Dez 2020

dass man sich damit unbeliebter macht als nur einmal gleich fehlerlos zu liefern ist wohl...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /