Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.381 Produkten

Daniel Bachfeld 44

Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps

Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.

Anzeige

Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.

Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.

Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.

Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar. (dab)

44 Kommentare

Themen:

Anzeige
  1. Google ruft zum Hack von Android-Apps auf – für einen guten Zweck

    Android

    Der Internetkonzern baut sein Bug-Bounty-Programm aus und will künftig auch Prämien für Lücken in eigenen Android-Apps zahlen. Das Programm ist auch für andere, ausgewählte App-Entwickler offen.

  2. Apples Bug Bounty: "Wer mit Sicherheitslücken Geld verdient, meldet sie nicht an Apple"

    iPhone 7

    Bis zu 200.000 US-Dollar will Apple Experten zahlen, die schwere Lücken in seinen Betriebssystemen finden. Eine Befragung ergab nun, dass dies dem Vergleich mit Schwarzmarktpreisen nicht standhält.

  3. Netgear will Bug-Jägern bis zu 15.000 US-Dollar zahlen

    Netgear will Bug-Jägern bis zu 15.000 US-Dollar zahlen

    Der Netzwerkausrüster hat ein Bug-Bounty-Programm gestartet und will Sicherheitsforschern mit Prämien für das Auffinden von Lücken belohnen.

  4. Android-Mega-Patch: Google schließt haufenweise kritische Lücken

    Android

    Unter anderem werden Lücken in WLAN-Chipsets von Broadcom geschlossen, die Angreifern das Ausführen von Code mittels manipulierter Wifi-Pakete erlauben. Auch für Android 4.4 (KitKat) sind Patches dabei.

  1. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  2. Android Oreo: Features, Download und Smartphone-Unterstützung

    Android O: Features, Download und Smartphone-Unterstützung

    Android 8 heißt Android Oreo und ist bereits für einige Smartphones verfügbar. Viele Funktionen und die überarbeiteten Menüs kann man deshalb schon ausprobieren – ein Blick auf die Neuerungen.

  3. Progressive Web Apps, Teil 1: Das Web wird nativ(er)

    Hätten Sie es gedacht? Hier ticken HTML5 und JavaScript.

    Progressive Web Apps sind das App-Modell der Zukunft. Das behauptet zumindest Google und hat nichts Geringeres vor, als App-Stores verschwinden zu lassen.

  1. Fastfood ist eine Infektion des Körpers

    Auf die "westliche Ernährung" mit zu viel Fett und Zucker reagiert das Immunsystem durch das Auslösen einer Entzündung, die nach einer Studie auch anhalten könnte, wenn man sich wieder gesund ernährt

  2. Honda CB 1000 R

    CB 1000 R

    Honda hatte ein Jahr lang das Naked Bike CB 1000 R aus dem Programm genommen, was bei den Fans für Unruhe sorgte. Die Nachfolgerin versöhnt beim ersten Anblick, das Design ist eine interessante Mischung aus modernen Formen und klassischen Elementen. Dazu bekam der Vierzylinder 20 PS mehr

  3. Österreich: Mit permanenten Tabubrüchen wird eine neue Normalität geschaffen

    Österreichs Rechtsregierung bekennt sich immer offener zu ihrer lang verleugneten Zuneigung zum Nationalsozialismus. Ein Kommentar

  4. Strengere Regeln für YouTube-Kanäle, die Geld verdienen wollen

    Strengere Regeln für YouTube-Kanäle, die Geld verdienen wollen

    YouTube wird strenger bei der Ausschüttung von Werbegeldern: Wer mit einem Kanal weiterhin Geld verdienen will, muss mindestens 1000 Abonnenten und 4000 Stunden "Sehdauer" vorweisen. Kleine Kanäle gehen künftig leer aus.

Anzeige