Logo von heise online

Suche
44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

  1. Fake ID: Zertifikats-Schmu erlaubt Android-Apps den Ausbruch aus der Sandbox

    Google-Apps

    Die von den Forschern "Fake ID" getaufte Lücke erlaubt es Apps, sich die Spezial-Rechte von Android-System-Programmen zu sichern und so aus der Sicherheits-Sandbox auszubrechen. Ähnlich wie ein Jugendlicher, der sich mit falschem Ausweis in einen Nachtclub schummelt.

  2. Präparierte Videos legen Android-Geräte lahm

    Android

    Neben dem Stagefright-Bug klafft eine weitere Lücke im Multimedia-System von Android – mehr als die Hälfte aller Geräte sind davon betroffen. Nach einem Angriff ist das Smartphone nicht mehr nutzbar.

  3. lost+found: Was von der Woche übrig blieb

    Heute unter anderem mit den Krypto-Tools Cryptocat und MiniLock, dem BillGates-Botnetz, Googles "Security Princess" in der Elle, Details zur towelroot-Lücke, Schnüffeln mit der Content-Security-Policy und Reverse-Engineering von Android-Apps.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. Angriff auf Android

    Angriff auf Android

    So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

  3. Die Woche: Maemo in neuen Schläuchen

    Maemo, Moblin, MeeGo, Tizen, Mer und Jolla: Es ist nicht ganz einfach, die Verwandschaftsverhältnisse der finnischen Mobile-Linux-Familie auseinanderzuhalten. Doch gerade diese Ahnenreihe macht Jolla zu einem aussichtsreichen Kandidaten auf dem Smartphone-Markt.

  1. Scheinangriff

    Citroen DS4

    Citroën überarbeitet den DS4 und erweitert die Reihe um ein "abenteuerlustiges" Modell. Die Veränderungen tun dem Wagen nach fünf Jahren gut, und doch wird er das bleiben, was er zuvor schon war: eine interessante Alternative, die nur wenige Käufer auf ihrem Zettel haben

  2. Der Mini-Monospace

    Der Mini-Monospace

    Vor 20 Jahren kam der Renault Twingo nach Deutschland. Der Kleinwagen mit dem Konzept eines Monospace im Biodesign bot eine verschiebbare Rückbank und ein eigenständiges Design. Das machte ihn nicht nur praktisch sondern auch sympathisch. Bis 2006 wurden 2,5 Millionen Twingos gebaut

  3. Eigener Weg

    Der Citroën 2CV aus technischer Sicht

    Was ein Citroën 2CV ist, wissen Sie? 25 Jahre nach Produktionsende konnten Sie gerade die gleichen Nachrufe lesen, wie sie letztes Jahr zum 65. Produktionsjubiläum erschienen sind. Das wollen wir gern zum Anlass nehmen, Sie nicht schon wieder mit dem „Regenschirm auf Rädern“ amüsieren zu wollen

  4. Unterwegs im neuen Hyundai i30cw

    Die zweite Auflage des Hyundai i30cw soll alles etwas besser können als ihr erfolgreicher Vorgänger. Wir konnten den Neuen mit dem stärksten Benziner vor seiner Premiere schon ausprobieren

Anzeige