Logo von heise online

Suche
Daniel Bachfeld 44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

  1. Nexus-Serie: Google fixt abermals Mediaserver von Android

    Google Nexus 6

    Googles monatlicher Patchday für die Geräte der Nexus-Serie kümmert sich unter anderem um fünf als kritisch eingestufte Sicherheitslücken. Dabei taucht wieder der Mediaserver auf, der 2015 von verschiedenen Stagefright-Lücken durchsiebt war.

  2. Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

    Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

    Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

  3. Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Microsoft schließt 54 Sicherheitslücken mit seinen Patchday-Updates. Darunter die Freak-Lücke in Windows und die UXSS-Lücke im Internet Explorer. Auch ein alter Bekannter wird noch einmal gepatcht: Die LNK-Lücke, die durch Stuxnet berühmt wurde.

  4. Trotz Patches: Android- und iOS-Apps noch anfällig für Freak-Angriff

    Telefone von Samsung und Apple

    Obwohl die Freak-Lücke in den beiden Mobil-Betriebssystemen eigentlich geschlossen wurde, lassen sich immer noch viele Apps auf beiden Plattformen darüber ausspionieren. Android-Nutzer trifft es schlimmer als Nutzer mit iOS-Geräten.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. Gefahr für Google-Smartphones

    Angriff auf Android

    So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

  3. "Wir holen auf": Steve Rabuchin über Amazons App-Shop

    Amazons App-Entwickler-Plattform.

    Amazons App-Shop kann bisher nur ansatzweise mit Googles Play Store mithalten. Um zu wachsen, müssen außer den Nutzern auch die App-Entwickler überzeugt werden. Wie Amazon das machen will, erklärt Steve Rabuchin, Vizepräsident beim Amazon App-Shop.

  1. eSIM: Was bedeutet die fest verbaute SIM-Karte für die Kunden?

    3D-Drucker: Kleiner, besser, billiger

    Geht es nach den großen Smartphone-Herstellern, würden sie den neuen kartenlosen SIM-Standard lieber heute als morgen einführen. Die fest eingebaute "embedded SIM" soll die bisherigen Chip-Kärtchen ersetzen. Doch was bedeutet das für die Kunden?

  2. Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei

    Aktuelle Viren-Welle dringt bis ins Innenministerium vor

    Derzeit sollte man jeden Dateianhang in einer E-Mail kritisch betrachten. Denn in letzter Zeit häufen sich Vorfälle, bei denen etwa präparierte Word-Dateien Computer infizieren. Die aktuelle Viren-Welle ist bis ins NRW-Innenministerium vorgedrungen.

  3. Hacker-Gruppe zwingt Opfern "Support" auf

    Hacker-Gruppe zwingt Opfern "Support" auf

    Unbekannte Online-Kriminelle infiltrieren seit mehr als einem Jahrzehnt unentdeckt Computersysteme von Unternehmen und staatlichen Einrichtungen mit maßgeschneiderten Trojanern. Anschließend meldet sich der Support der Hacker bei den Opfern.

  4. United Internet wird größter Aktionär von Tele Columbus

    Ralph Dommermuth

    Auch wenn United Internet groß beim Kabelanbieter Tele Columbus einsteigt – eine Übernahme habe es nicht im Sinn, hieß es vom Unternehmen.

Anzeige