Logo von heise online

Suche
Daniel Bachfeld 44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

Anzeige
  1. Nexus-Serie: Google fixt abermals Mediaserver von Android

    Google Nexus 6

    Googles monatlicher Patchday für die Geräte der Nexus-Serie kümmert sich unter anderem um fünf als kritisch eingestufte Sicherheitslücken. Dabei taucht wieder der Mediaserver auf, der 2015 von verschiedenen Stagefright-Lücken durchsiebt war.

  2. Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

    Stagefright

    Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

  3. Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Google wird die Stagefright-Probleme nicht los. Auch das März-Update patcht mehrere kritische Lücken, die in den Multimedia-Diensten der Android-Geräte stecken. Updates für Nexus-Smartphones und -Tablets werden bereits verteilt.

  4. Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Microsoft schließt 54 Sicherheitslücken mit seinen Patchday-Updates. Darunter die Freak-Lücke in Windows und die UXSS-Lücke im Internet Explorer. Auch ein alter Bekannter wird noch einmal gepatcht: Die LNK-Lücke, die durch Stuxnet berühmt wurde.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. Gefahr für Google-Smartphones

    Angriff auf Android

    So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

  3. "Wir holen auf": Steve Rabuchin über Amazons App-Shop

    Amazons App-Entwickler-Plattform.

    Amazons App-Shop kann bisher nur ansatzweise mit Googles Play Store mithalten. Um zu wachsen, müssen außer den Nutzern auch die App-Entwickler überzeugt werden. Wie Amazon das machen will, erklärt Steve Rabuchin, Vizepräsident beim Amazon App-Shop.

  1. vk.com: Porno-Darstellerinnen per Gesichtserkennung entanonymisiert

    vk.com: Porno-Darstellerinnen per Gesichtserkennung entanonymisiert

    Nutzer eines russischen Internetforums greifen auf eine frei verfügbare App zur Gesichtserkennung zurück, um Darstellerinnen in Pornovideos zu entanonymisieren. Der Anbieter der App fühlt sich nicht zuständig, dabei gab es schon vorher Kritik.

  2. Abgas-Skandal: VW-Chef Müller bedauert technische Probleme beim Diesel-Rückruf

    Abgas-Skandal: VW-Chef Müller bedauert technische Probleme beim Diesel-Rückruf

    Möglicherweise ruft VW nicht als nächstes betroffene Passats zurück, sondern zieht eine andere Modellreihe vor.

  3. Die Medienkontrolle in Russland greift auf das Internet über

    Cyberangriffe

    Die Medien in Russland sind nach Ansicht der US-Organisation Freedom House "nicht frei". Zwar gibt es laut Experten Nischen für die Pressefreiheit, aber auch diese werden kontrolliert.

  4. Xamarin stellt SDKs unter Open Source und veröffentlicht Studio 6 für OS X

    Xamarin Studio 6 für OS X bekommt einen Microsoft-Unterbau

    Auf der hauseigenen Konferenz Evolve präsentiert die Microsoft-Tochter den ersten Release Candidate von Xamarin Studio 6 für OS X und stellt die SDKs für Android, iOS und Mac unter Open Source.

Anzeige