Logo von heise online

Suche
44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

  1. Fake ID: Zertifikats-Schmu erlaubt Android-Apps den Ausbruch aus der Sandbox

    Google-Apps

    Die von den Forschern "Fake ID" getaufte Lücke erlaubt es Apps, sich die Spezial-Rechte von Android-System-Programmen zu sichern und so aus der Sicherheits-Sandbox auszubrechen. Ähnlich wie ein Jugendlicher, der sich mit falschem Ausweis in einen Nachtclub schummelt.

  2. lost+found: Was von der Woche übrig blieb

    Heute unter anderem mit den Krypto-Tools Cryptocat und MiniLock, dem BillGates-Botnetz, Googles "Security Princess" in der Elle, Details zur towelroot-Lücke, Schnüffeln mit der Content-Security-Policy und Reverse-Engineering von Android-Apps.

  3. Android 4.4.4: Google schließt OpenSSL-Lücken

    Überraschend hat Google eine neue Android-Version herausgegeben, die in den USA bereits automatisch an Geräte verteilt wird. Das Update flickt unter anderem die Man-in-the-Middle-Lücke, die OpenSSL vor kurzem geschlossen hatte.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. Angriff auf Android

    Angriff auf Android

    So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

  3. Die Woche: Maemo in neuen Schläuchen

    Maemo, Moblin, MeeGo, Tizen, Mer und Jolla: Es ist nicht ganz einfach, die Verwandschaftsverhältnisse der finnischen Mobile-Linux-Familie auseinanderzuhalten. Doch gerade diese Ahnenreihe macht Jolla zu einem aussichtsreichen Kandidaten auf dem Smartphone-Markt.

  1. Der große Bruder reagiert genervt

    NSA

    Die US-Geheimdienste sind offenkundig sauer über das deutsche Ansinnen, in der Spähaffäre ihre Karten aufzudecken. Berlin gilt nach Medienberichten als unsicherer Kantonist.

  2. Guter Appetit

    alternative Antriebe, Elektroautos

    Siiiaum, und weg! Elektrische Ampelstarts machen einfach mehr Spaß – egal mit welchem Auto. Teile des Antriebs der elektrischen B-Klasse stammen von Tesla Motors. Wir probieren, ob ihre Batteriekapazität von 28 kWh – entsprechend etwa einem Drittel Tesla Model S – ausreicht, um zu überzeugen

  3. Grüße aus Entenhausen

    Fahrbericht: Suzuki V-Strom 650XT

    Es gibt sie immer wieder: Motorräder, die einem auf den ersten Blick nicht gefallen. Die Suzuki V-Strom 650 ist so ein Modell. Doch nach einigen hundert Kilometern wird sie immer hübscher. Man sollte sich eben nie vom ersten Anschein täuschen lassen

  4. Bitkom-Verband veröffentlicht dritte Auflage seines Social-Media-Leitfadens

    BITKOM veröffentlicht dritte Auflage ihres Social-Media-Leitfadens

    Der Branchenverband der digitalen Wirtschaft Bitkom hat seinen Praxisratgeber für den Auftritt in sozialen Netzwerken überarbeitet. Neu sind beispielsweise Kapitel zu Crowdsourcing und Kundenpflege.

Anzeige