Fehlende Abschottung von User-Interface-Elementen ist eine gängige aber keine gute Ausgangslage. Android stellt APIs zur Verfügung, welche das jederzeitige Zeichnen von User-Interface-Elementen auf den Bildschirm erlauben. Aufgrund der fehlenden gegenseitigen Abschottung kann sich der Benutzer nie sicher sein, mit welcher App er gerade interagiert. Das kann dann eben eine Malware-App sein, die sich als legitime App ausgibt.

Eine auf dem Smartphone oder Tablet installierte App mit Schadcode kann Eingabemasken anderer Apps überlagern. Das gilt für Social-Media-Apps wie Skype, Facebook Messenger und WhatsApp genauso wie für Banking- und Enterprise Apps. Für den Benutzer ist das Eingabefenster der Schadcode-App nicht vom Eingabefenster der echten App zu unterscheiden. Die Malware-App erhält so die Zugangsdaten für die Anwendung und kann die an den Angreifer weiterleiten. Sogar der Diebstahl neu angelegter Google-Accounts in den Android-Einstellungen funktioniert problemlos.

Grundsätzlich sind alle Android-Versionen betroffen. Die nötigen APIs stehen bereits seit API Level 1 zur Verfügung. Getestet wurde allerdings nur mit Geräten unter Android 4 und 5. Das Google Security Team für Android ist schon seit Frühjahr 2014 detailliert in Kenntnis gesetzt. Trotzdem wurde das Problem nicht angegangen. Auch hier kann Tobias Ospelt mit genaueren Informationen aufwarten: „Bei Android 5 lässt sich nicht mehr so feingranular feststellen, welche Applikations-Aktivität sich im Vordergrund befindet. Dieselbe Situation ergibt sich auf Android 4.4.4 und davor, wenn die Applikation rein mit einer WebView programmiert wurde. Trotzdem ist der Angriff auf Applikationen auf der Basis von WebViews durchführbar und auch solchen auf Android-5-Geräten. Getestet haben wir das bis zum aktuellen Android 5.1.

Selbstverständlich behauptet Google, dass nur „gute“ Apps den Einlass in den Play Store finden, weil jede App überprüft wird. Nur ist nicht jede Überprüfung detailliert genug und zudem kann eine solche App Teile des Codes von einem entfernten Rechner nachladen, nachdem die Applikation bereits durch den Validierungsprozess durch ist.

Android_dangerous

Categories: Hauptseite