• IT-Karriere:
  • Services:

Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

Artikel veröffentlicht am ,
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt.
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt. (Bild: Promon/CC0 1.0)

Eine Sicherheitslücke in Android ermöglicht Schadsoftware, sich als andere, legitime Apps zu tarnen. Betroffen sind die Android-Versionen 6 bis 10. Die Lücke wird bereits aktiv ausgenutzt, um beispielsweise den Bankingtrojaner Bankbot zu installieren - einen Patch gibt es derzeit nicht. Die Sicherheitsfirmen Promon und Lookout haben die Lücke entdeckt und ihr den Namen Strandhogg - nach einer Wikinger-Taktik, mit der Küstengebiete überfallen und Lösegeld für gefangene Menschen gefordert wurde - gegeben. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. Kassenärztliche Vereinigung Mecklenburg-Vorpommern, Schwerin
  2. Universitätsstadt Tübingen, Tübingen

Seit Android Version 6 kann die Schad-App taskAffinity auf eine oder mehrere ihrer Aktivitäten setzen, die dem Namen einer anderen App entspricht. Anschließend kann die Schad-App die Aktivität eine Ziel-App übernehmen. Beim nächsten Antippen des Icons der Ziel-App wird die Aktivität der Schad-App gestartet - auf diese Weise lässt sich beispielsweise ein Login-Bildschirm im Stil der Ziel-App anzeigen und die vom Nutzer eingegebenen Login-Daten abfangen.

Die Schad-App kann aber auch nach Berechtigungen fragen, beispielsweise dem Zugriff auf SMS, Standort, Kamera oder Mikrofon. Wird diese erteilt, kann die Schad-App den Nutzer mit den Berechtigungen überwachen. Besteht beispielsweise ein Zugriff auf die SMS und wurden zuvor die Login-Daten einer Bank-App abgegriffen, kann ein Angreifer Überweisungen triggern und mit der ausgelesenen mTAN bestätigen.

Einen solchen Angriff können Nutzer nur schwer erkennen, bevor es zu spät ist. Allerdings können sie laut Promon auf verschiedene Auffälligkeiten achten. Beispielsweise sei es verdächtig, wenn eine App, bei der ein Nutzer bereits angemeldet ist, erneut nach den Zugangsdaten frage oder der Nutzer Berechtigungsanfragen ohne einen App-Namen erhalte. Ebenfalls verdächtig sei es, wenn eine App nach einer Berechtigung frage, die sie nicht benötige. Auch Tippfehler oder nicht reagierende Buttons in der App-Oberfläche könnten ein Hinweis auf einen Angriff sein.

Mindestens 36 Schad-Apps nutzen die Sicherheitslücke aus

Die Sicherheitsfirma Lookout konnte bereits 36 Apps ausfindig machen, die die Sicherheitslücke ausnutzen. Die betroffenen Apps nennt die Sicherheitsfirma allerdings nicht. Diese seien zum Teil auch im Google Play Store zu finden gewesen, allerdings hätten sie die Schadsoftware nicht enthalten, sondern diese erst nach der Installation nachgeladen - sogenannte Dropper-Apps. Google hat die betroffenen Apps nach einem Hinweis aus dem Play Store gelöscht. Diese sollen unter anderem den Trojaner Bankbot installieren, der es auf die Zugangsdaten von Banken-Apps und mTANs, die per SMS zugestellt werden, abgesehen hat. Bankbot war in der Vergangenheit immer wieder im Play Store aufgetaucht.

Promon entdeckte die Sicherheitslücke bereits im Sommer und meldete sie an Google. Die Sicherheitsfirma gab Google 90 Tage Zeit, um die Lücke zu beheben, bevor sie nun veröffentlicht wurde. Erst Ende November wurde bekannt, dass sich Textnachrichten über den SMS-Nachfolger RCS einfach mitlesen lassen. Apps brauchen hierfür keine extra Berechtigung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)

ldlx 07. Dez 2019 / Themenstart

Und nun denk nochmal drüber nach, was alle diese Anbieter gemeinsam haben... - alle aus...

pre3 05. Dez 2019 / Themenstart

So ist es, hier kehrt sich die Marktmacht leider ins Negative um, ähnlich wie bei MS...

Faksimile 04. Dez 2019 / Themenstart

Aber nur relativ junge Geräte. Ältere Samsung Tablet bekommen z.B keine Updates

quasides 04. Dez 2019 / Themenstart

grundsätzlich unterstelle ich amazon negativen intent allerdings in dem fall sind sie...

FreiGeistler 04. Dez 2019 / Themenstart

Dass du vorschnell rumposaunst? Weil Magisk extra dafür entwickelt wurde, dass Apps den...

Kommentieren


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

    •  /