Android: Böswillige Apps können Banking-App mit Phishing-Link versehen

Böswillige Apps können Homescreen-Shortcuts manipulieren.
Bild: dpa In Android klafft eine Sicherheitslücke, die es böswilligen Anwendungen erlaubt, auf dem Homescreen des Nutzers App-Shortcuts zu manipulieren. Das berichtet der Anbieter von Sicherheits-Dienstleistungen FireEye in einem Blog-Eintrag [Link entfernt] . Angriffspunkt ist mal wieder die laxe Rechte-Vergabe.

Android-Nutzer sehen vor der Installation einer App, welche Rechte diese verlangt. Was viele aber nicht wissen: In diesem Dialog-Feld zeigt Android nicht alle tatsächlich verlangten Berechtigungen an, sondern nur solche, die Google als gefährlich einstuft. Das sind zum Beispiel Zugriffe auf Speicherkarten oder aber auch die Möglichkeit, kostenpflichtige Dienste zu nutzen.

FireEye erstellt Demo-App, die Shortcuts auf dem Homescreen manipuliert

Böswillige Apps können Homescreen-Shortcuts manipulieren.
Bild: dpa Das Recht, auf Einstellungen lesend und schreibend zuzugreifen, gilt als normal - also ungefährlich -, sodass dieses Recht bei der Installation nicht explizit angezeigt wird. Mit diesem Zugriffsrecht lässt sich aber einiges anstellen, wie FireEye jetzt gezeigt hat. Den Mitarbeitern des Unternehmens ist es gelungen, mit diesen Rechten Shortcuts auf dem Homescreen zu manipulieren. So konnte eine Demo-App hinter dem Homescreen-Icon - zum Beispiel einer Banking-App - einen Link auf eine Phishing-Seite verstecken. FireEye gelang es desweiteren, diese App im Google Play Store zu platzieren. Offenbar prüfen Googles Mechanismen nicht auf einen solchen Manipulationsversuch.

Google habe die Existenz der Sicherheitslücke gegenüber FireEye bestätigt und soll bereits einen Patch an Hardware-Partner versandt haben. Was dieser konkret bewirkt ist aber unklar: Setzt der Patch die Risiko-Stufe einfach hoch? Dann erschiene zwar, dass eine zu installierende App auf Einstellungen zugreifen kann - aber den meisten Android-Nutzern dürfte daraus nicht ersichtlich sein, dass die neue Anwendung auch App-Shortcuts manipulieren kann.

Die Demo-App funktionierte nach den Angaben von FireEye auf Smartphones mit aktuellen Android-Versionen wie 4.4.2 und 4.3. Dabei seien neben Google-eigenen Nexus-Modellen auch Geräte von Samsung und HTC zum Einsatz gekommen. Da die betreffenden Rechte bereits seit Version 1.0 in Android vorhanden sind, dürften die meisten Smartphones und Tablets mit Android betroffen sein.

An dieser Sicherheitslücke zeigt sich erneut, dass die Update-Lage bei Android sehr problematisch ist - nur für wenige Smart­phones wird es zügige Updates geben. Besonders ärgerlich ist dies für Besitzer älterer Smart­phones, die meist gar keine Sicherheits-Updates mehr erhalten. Hier hat Googles Smart­phone-System beispielsweise gegenüber Apples iOS das Nachsehen, denn Apple kann recht schnell die iPhones und iPads der Kunden mit einem Update absichern.