Palo Alto Networks informiert über eine verbreitete Schwachstelle in Android . Angreifer können mit dem beschriebenen Verfahren die Installation einer Android-Paketdatei (APK) kapern und sie durch eine App ihrer Wahl ersetzen. Der Anwender bekommt nichts davon mit und muss auch keine zusätzliche Genehmigung erteilen. Das funktioniert allerdings nur bei Downloads aus alternativen Android-App-Marktplätzen – nicht in Google Play.
Von dieser Lücke sind laut Palo Alto etwa 49,5 Prozent aller Android-Geräte betroffen. Google und diverse Geräte-Hersteller von Amazon bis Sony sind informiert. Besonders Hardware mit einer älteren Version als Android 4.3_r0.9 kann anfällig sein. Aber auch auf einigen Android-4.3-Geräten wurde die Schwachstelle festgestellt. Palo Alto Networks bietet auf Github und in Google Play eine Anwendung an, die ermittelt, ob ein Gerät betroffen ist.
Laut Beschreibung steckt die Lücke im Android-Systemdienst PackageInstaller. Angreifer können sich darüber auf kompromittierten Geräten unbegrenzte Berechtigungen verschaffen. So ist es ihnen zum Beispiel möglich, Benutzern beim Installationsvorgang eine eingeschränkte Auswahl von Berechtigungen anzeigen zu lassen, während die App tatsächlich vollen Zugriff auf alle Dienste und Daten erhält, einschließlich persönlicher Daten und von Passwörtern.
Der Forscher Xu Zhi von Unit 42, dem Bedrohungsanalyse-Team von Palo Alto Networks, hat die Schwachstelle entdeckt. Sein Team empfiehlt, nur von Google Play Programme herunterzuladen und zu installieren. Dieser Marktplatz stellt einen geschützten Raum bereit, der durch Angreifer nicht überschrieben werden kann.
Außerdem sollten grundsätzlich keine Apps genutzt werden, die die Berechtigung erfordern, auf Logcat zuzugreifen. Logcat ist ein Systemprotokoll, dessen Missbrauch es Angreifern ermöglicht, Angriffe auf die Schwachstelle zu automatisieren.
Android 4.1 und später verbieten den Zugriff auf Logcat standardmäßig. Auf gerooteten Android-Geräten kann es laut Palo Alto aber gelingen, auch unter Android ab Version 4.1 auf Logcat zuzugreifen. Daher empfiehlt es Unternehmen, keine gerootete Enderäte in ihrem Netzwerk zuzulassen.
[mit Material von Peter Marwan, ITespresso.de ]
Tipp : Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de