Logo von heise online

Suche
Daniel Bachfeld 44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

Anzeige
  1. Nexus-Serie: Google fixt abermals Mediaserver von Android

    Google Nexus 6

    Googles monatlicher Patchday für die Geräte der Nexus-Serie kümmert sich unter anderem um fünf als kritisch eingestufte Sicherheitslücken. Dabei taucht wieder der Mediaserver auf, der 2015 von verschiedenen Stagefright-Lücken durchsiebt war.

  2. Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

    Stagefright

    Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

  3. Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Google wird die Stagefright-Probleme nicht los. Auch das März-Update patcht mehrere kritische Lücken, die in den Multimedia-Diensten der Android-Geräte stecken. Updates für Nexus-Smartphones und -Tablets werden bereits verteilt.

  4. Präparierte Videos legen Android-Geräte lahm

    Android

    Neben dem Stagefright-Bug klafft eine weitere Lücke im Multimedia-System von Android – mehr als die Hälfte aller Geräte sind davon betroffen. Nach einem Angriff ist das Smartphone nicht mehr nutzbar.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. "Wir holen auf": Steve Rabuchin über Amazons App-Shop

    Amazons App-Entwickler-Plattform.

    Amazons App-Shop kann bisher nur ansatzweise mit Googles Play Store mithalten. Um zu wachsen, müssen außer den Nutzern auch die App-Entwickler überzeugt werden. Wie Amazon das machen will, erklärt Steve Rabuchin, Vizepräsident beim Amazon App-Shop.

  3. Android: Haltet die Daten!

    Kampf den Handy-Bankräubern

    Smartphones mit Android-Betriebssystem werden immer häufiger von Kriminellen angegriffen. Ein neues Verfahren soll sie schneller fangen.

  1. c't uplink 8.2: Neue Smartphones, Smartwatches und Displays auf der IFA

    c't uplink 8.1

    c't uplink kommt in dieser Woche direkt von der Technikmesse IFA in Berlin. Wir sprechen über die Samsung Gear S2, Smartphones von Gigaset und Huawei und das 4K-Display im Sony Xperia Z5 Premium, das kein 4K zeigt.

  2. Der Aldi-PC November 2015: Medion Akoya P5320 E (MD 8875)

    Aldi-PC Medion Akoya P5320 E (MD 8875)

    Der neueste Aldi-PC mit Skylake-Prozessor gleicht in vielen Details seinem genauso teuren Vorgänger aus dem November 2014, kann aber manches besser: unter anderem dank SSD und Windows 10.

  3. Vor 40 Jahren: Mercedes bringt den ersten 5-Zylinder-Pkw-Diesel

    Endlich ein bisschen Leistung

    Der 240 D 3.0 ist der erste Serien-Pkw mit einem Fünfzylinder-Dieselmotor. Der 80 PS leistende 3,0-Liter macht die landläufig „Strich-Acht“ genannten Modelle der Baureihe W115 zu den schnellsten Diesel-Pkw der Welt

  4. Zahlen, bitte! Nicht vergessen: Mittwoch ist "Geek Pride Day"

    Zahlen, bitte! Nicht vergessen: Morgen ist "Geek Pride Day"

    Wer die Geek- und Nerd-Kultur gebührend feiern will, verlässt am Mittwoch das Haus nicht ohne Handtuch, Lichtschwert (ein Blaster tuts auch) oder Flieder.

Anzeige