Logo von heise online

Suche
44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

  1. Android und iPhone beim Mobile Pwn2Own gefällt

    Forscher beim Mobile Pwn2Own

    Alle drei großen Mobil-Betriebssysteme sind bei der diesjährigen Mobile-Ausgabe von HPs Pwn2Own-Wettbewerb erfolgreichen Hacks zum Opfer gefallen. Der Angriff auf Windows Phone ist dabei allerdings im Vergleich noch eher harmlos.

  2. Android-Apps laufen im Chrome-Browser

    Android-Apps laufen im Chrome-Browser

    Mit der Chrome-Erweiterung ARChon laufen angepasste Android-Apps im Chrome-Browser. Android- und Chrome-Tools erleichtern die Konvertierung der APK-Dateien.

  3. Android L für das Nexus 4

    Android L für das Nexus 4

    Nachdem Google die Quelltexte von Android L auch für das Nexus 4 bereitgestellt hat, war es nur eine Frage der Zeit, bis ein installierbares Android-L-Image für das Gerät verfügbar ist.

  4. Android 4.3 und älter: Schwachstelle in der Schlüsselverwaltung

    KeyStore-Lücke

    Eine Sicherheitslücke in Androids KeyStore-Prozess erlaubte es Angreifern, geheime Schlüssel auszulesen und mit den Kryptofunktionen des Gerätes Schindluder zu treiben. Die Lücke wurde mit Android 4.4 geschlossen.

Anzeige