Abo
  • Services:

Sicherheitslücke: Manipulation der Icons im Android-Launcher möglich

Die Icons im Android-Launcher lassen sich ohne große Mühe manipulieren. Dadurch ließen sich vermeintlich vertrauenswürdige App-Icons so verändern, dass sie auf eine App mit Schadcode oder auf eine Phishing-Seite leiten könnten, warnen Sicherheitsspezialisten.

Artikel veröffentlicht am ,
Sicherheitsloch in allen Android-Versionen
Sicherheitsloch in allen Android-Versionen (Bild: Justin Sullivan/Getty Images)

In allen Android-Versionen haben die Sicherheitsspezialisten von Fireeye eine Sicherheitslücke entdeckt. Mit einer regulären Android-App lassen sich nach ihren Angaben die Icons auf dem Startbildschirm des Launchers manipulieren, so dass sie auf andere Apps oder Webseiten verweisen können. Somit lassen sich vertrauenswürdige Apps mit schadhaften Apps oder Webseiten verknüpfen.

Googles Sicherheitsmechanismen helfen nicht

Stellenmarkt
  1. ProLeiT AG, Leverkusen
  2. Versicherungskammer Bayern, Saarbrücken

Auch die in Android und im Play Store von Google bereitgestellten Sicherheitstests helfen nicht. Eine entsprechende Beispiel-App ging ohne Probleme im Play Store online und bei der Ausführung auf einem Android-Gerät gab es keine Fehlermeldung. Fireeye betont, dass die betreffende App gleich wieder aus dem Play Store entfernt worden sei, so dass keine Unbeteiligten sie heruntergeladen und installiert haben könnten. Seit kurzem überwacht Google Android-Apps im Hintergrund hinsichtlich eines möglicherweise schadhaften Verhaltens.

Ein Angriff über diese Sicherheitslücke kann vom Opfer nicht ohne weiteres bemerkt werden. Erst seit Android 4.2 wird die Zugriffsberechtigung für das Installieren von Icons auf dem Startbildschirm bei der App-Installation abgefragt, bei älteren Android-Versionen gibt es keinen Hinweis, wenn eine App dafür die entsprechenden Rechte haben will. Damit sind Geräte mit Android 4.2 und neuer aber keinesfalls vor dem Sicherheitsloch gefeit. Denn nach wie vor fehlt eine Nachfrage, wenn eine App das Icon auf dem Startbildschirm nachträglich ändert.

Google hat Patch an Hersteller verteilt

Google hat nach Aussage von Fireeye das Sicherheitsloch bestätigt und will es innerhalb von Android bereits beseitigt haben. Der Patch wurde an die Gerätehersteller weitergereicht. Allerdings ist unklar, ob der Fehler auch in älteren Android-Versionen oder nur in der aktuellen Android-Version behoben wurde. Denn wie schnell die betroffenen Android-Smartphones und -Tablets den Patch erhalten, ist alles andere als klar.

Es besteht sogar das Risiko, dass vor allem ältere Geräte niemals einen Patch erhalten, weil die Hersteller für die Geräte keine Updates mehr anbieten. Laut Fireeye besteht der Fehler seit Android 1.x. Bisher seien nicht einmal die Nexus-Geräte von Google davor sicher, warnt Fireeye. Sie hätten den Fehler auf einem Nexus 7 mit aktuellem Android 4.4.2 reproduzieren können. Es wird erwartet, dass in Kürze ein Update auf Android 4.4.3 erscheint und dass damit der Fehler beseitigt werden könnte.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 57,99€
  3. (reduzierte Überstände, Restposten & Co.)

chrulri 22. Apr 2014

Stimmt, weil SSL-Bugs, welche beliebige Zertifikate fressen, inkl. dieses der gefälschten...

HerrMannelig 17. Apr 2014

Im Artikel steht aber nicht, dass die Verknüpfung, sondern dass die Icons getauscht...

tomate.salat.inc 17. Apr 2014

Ich habs offensichtlich nicht verstanden, erklärs.


Folgen Sie uns
       


Golem.de ist Kratos - God of War (Live, keine Spoiler)

Die Handlung verraten wir nicht, trotzdem wollen wir das andersartige neue God of War besprechen. Zu diesem Zweck haben wir eine stellvertretende Mission herausgesucht, in der es nicht um die primäre Handlung geht. Ziel ist es, den Open-World-Ansatz zu zeigen, das Kampfsystem zu erklären und die Spielmechaniken zu verdeutlichen.

Golem.de ist Kratos - God of War (Live, keine Spoiler) Video aufrufen
BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

    •  /