Logo von heise online

Suche
44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

  1. Fake ID: Zertifikats-Schmu erlaubt Android-Apps den Ausbruch aus der Sandbox

    Google-Apps

    Die von den Forschern "Fake ID" getaufte Lücke erlaubt es Apps, sich die Spezial-Rechte von Android-System-Programmen zu sichern und so aus der Sicherheits-Sandbox auszubrechen. Ähnlich wie ein Jugendlicher, der sich mit falschem Ausweis in einen Nachtclub schummelt.

  2. lost+found: Was von der Woche übrig blieb

    Heute unter anderem mit den Krypto-Tools Cryptocat und MiniLock, dem BillGates-Botnetz, Googles "Security Princess" in der Elle, Details zur towelroot-Lücke, Schnüffeln mit der Content-Security-Policy und Reverse-Engineering von Android-Apps.

  3. Android 4.4.4: Google schließt OpenSSL-Lücken

    Überraschend hat Google eine neue Android-Version herausgegeben, die in den USA bereits automatisch an Geräte verteilt wird. Das Update flickt unter anderem die Man-in-the-Middle-Lücke, die OpenSSL vor kurzem geschlossen hatte.

  1. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  2. Angriff auf Android

    Angriff auf Android

    So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

  3. Übersicht über die aktuelle Situation für Mobile-Entwickler

    Nach dem Erfolg des iPhones inklusive des dazugehörigen App Stores sehen immer mehr Entwickler eine Chance, in der mobilen Welt aktiv zu werden. Eine kurze Zusammenfassung, was Entwickler von den verschiedenen Plattformen zu erwarten haben und welche Möglichkeiten es gibt, Einnahmen zu generieren.

  1. Verluste und Produkt-Verspätungen: AMD will sich erklären

    AMD FX

    Am Mittwoch veranstaltet AMD in New York den Financial Analyst Day 2015. Dort muss Lisa Su erklären, wie sie aus den roten Zahlen kommen will.

  2. AMD-Chef kündigt bessere x86-Mikroarchitektur "Zen" an

    Bisher hatte AMD für 2015 schon den ARMv8-Kern K12 und das Skybridge-Konzept angekündigt.

    Vor Finanzanalysten gestand Rory Read ein, dass die seit 2011 ausgelieferten Bulldozer-Prozessoren hinter den Erwartungen geblieben sind - aber mit dem Zen soll es besser werden.

  3. Gehaltvoll mit Säure

    Ameisensäure als Wasserstoffspeicher für die Brennstoffzelle

    Wasserstoff als Energieträger für Elektroautos wird seit den 1960er-Jahren beforscht. Zu den größten Problemen zählen neben geringer Gesamteffizienz auch Verteilung und Speicherung ausreichender Mengen des Gases. Zum Thema der Speicherproblematik nun ein neuer Impuls aus den Niederlanden

  4. Es war nicht alles schlecht damals

    Klartext

    In den Neunzigern hatten bei den Motorrädern die Fahrwerke und Bremsen endlich zur Motorleistung komplett aufgeschlossen. Die Ära der Sporttourer begann. Wir feiern ein 90s-Revival mit der Honda VFR 800 F

Anzeige