Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Daniel Bachfeld 44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

Anzeige
  1. Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Android-Sicherheitsupdates: Immer Ärger mit Stagefright

    Google wird die Stagefright-Probleme nicht los. Auch das März-Update patcht mehrere kritische Lücken, die in den Multimedia-Diensten der Android-Geräte stecken. Updates für Nexus-Smartphones und -Tablets werden bereits verteilt.

  2. Fiat Chrysler will mit Bug-Bounty-Programm Sicherheitsforscher belohnen

    Fiat Chrysler will mit Bug-Bounty-Programm Sicherheitsforscher belohnen

    Wer eine Schwachstelle in einem Service-Angebot von Fiat Chrysler findet, kann bis zu 1500 US-Dollar verdienen.

  3. Nexus-Patchday: Abermals kritische Lücken im Mediaserver behoben

    Nexus-Patchday: Abermals kritische Lücken im Mediaserver

    Google kämpft immer noch mit Stagefright-Bugs, über die Angreifer Smartphones und Tablets in ihre Gewalt bringen können. Zudem wird eine kritische Schwachstelle im Kernel gefixt.

  4. Rekord-Patchday: Google patcht über 100 Android-Lücken in zwei Schüben

    Rekord-Patchday: Google patcht über 100 Android-Lücken in zwei Schüben

    Im Juli schließt Google so viele Android-Lücken wie nie zuvor. Um es den Herstellern leichter zu machen, kamen die Patches in zwei Schüben. Einige Android-Nutzer dürften bereits eine abgesicherte Version nutzen, andere müssen warten.

  1. Open Bug Bounty: Sicherheitslücken gegen Prämie

    Open Bug Bounty: Portal für Sicherheitslücken

    heise Security machte nicht ganz freiwillig Bekanntschaft mit einer bisher weitgehend unbekannten Plattform, auf der Hacker und andere Forscher Sicherheitslücken melden können.

  2. Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Die nächste Android-Version heißt Android Nougat und kommt im Herbst 2016. Welche Funktionen Google in Android ändert, kann man zum großen Teil jetzt schon sehen: dank der Developer-Preview-Versionen von Android N.

  3. Hintergründe des Packstation-Hacks

    Hintergründe des Packstation-Hacks

    Mit gefälschter Kundenkarte und einer App konnten Angreifer DHL-Packstationen übernehmen. c't hat die Lücke nachvollzogen und zeigt, warum der Hack bis vor kurzem so leicht war.

  1. Im Test: BMW X1 xDrive 20d

    BMW

    Der zweite BMW X1 wirkt innen nobler, dreht aber aus Kostengründen sein Antriebskonzept um. Statt des standardmäßigen Hinterradantriebs mit zugeschalteter Vorderachse werden nun die Hinterräder nur bei Bedarf angetrieben. Eine Ausfahrt sollte zeigen, ob sich dieser BMW noch wie einer anfühlt

  2. Apple Carplay im BMW 1er

    BMW NBT Evo

    Unsere Kollegen von Techstage haben sich angesehen, wie BMW Apple Carplay integriert hat. Das ist nicht ganz billig, von BMW aber insgesamt sehr gut gelöst. Ein paar Dinge könnten BMW und Apple in ihrer Zusammenarbeit aber noch verbessern

  3. "Hilfe, wir werden von einem Piratensender gestört!"

    Peinliches Guerilla-Marketing im US-Radio

  4. "Großes Finale": Cassini meldet sich nach Flug zwischen dem Saturn und seinen Ringen

    "Großes Finale": Cassini meledet sich nach Flug zwischen Saturn und Ringen

    Einen Tag nach dem ersten Abtauchen zwischen den Saturn und seine Ringe hat sich die NASA-Sonde Cassini zurückgemeldet. Eine Antenne in Kalifornien empfängt die heiß ersehnten Daten. Offenbar lief alles nach Plan, freut sich die NASA.

Anzeige