Google: Android-Sicherheitslücke jahrelang ignoriert
Android-Sicherheitslücke lange bekannt
Foto: dpa
Im Februar entdeckte ein Cybersicherheitsunternehmen erstmals eine Android-Malware, mit der die von der Google-Authenticator-App generierten Codes für die Zwei-Faktor-Authentifizierung gestohlen werden konnten. Wie es in einem Bericht von ZDnet heißt, war das Cerberus genannte Schadprogramm noch in der Entwicklung. Von einem tatsächlich stattgefundenen Angriff ist nichts bekannt.
Wie es weiter heißt, handelte es sich um eine Mischung aus einem Banking-Trojaner und einem Remote Access Trojaner. Sobald ein Android-Smartphone infiziert werde, würde der Hacker die Banking-Trojaner-Funktionen der Malware verwenden, um Anmeldeinformationen für Mobile-Banking-Apps zu entwenden.
Für den Fall, dass der Besitzer des Smartphones die Zwei-Faktor-Authentifizierung und hierfür vor allem die Google-Authenticator-App genutzt hat, sei die Malware so konzipiert worden, dass die Cerberus-Gruppe über den Remote Access Trojaner eine manuelle Verbindung zum Smartphone herstellen konnte. Hacker öffneten dann die Authenticator-App, generierten einmalige Passcodes, machten einen Screenshot der Codes und griffen auf das Benutzerkonto zu.
Das hat Google versäumt
Android-Sicherheitslücke lange bekannt
Foto: dpa
Das Android-Betriebssystem ermöglicht es App-Entwicklern, ein Flag zu setzen, das das Anfertigen von Screenshots verhindert. So haben unter anderem Anbieter von Banking-Anwendungen diese Funktion genutzt, sodass das normalerweise systemweit verfügbare Feature zur Aufnahme von Bildschirmfotos blockiert wird. Ausgerechnet Google selbst habe es aber versäumt, diese Funktion in seine Authenticator-App einzupflegen.
Forscher von Nightwatch Cybersecurity erklärten, dass diese Sicherheitslücke schon im Oktober 2014 auf Github angesprochen wurde, 2017 sei das Problem erneut zur Sprache gekommen. Hier habe Nightwatch Cybersecurity auch direkt das Sicherheitsteam von Google angesprochen. Geändert hatte der Betreiber der Android-Plattform allerdings nichts.
Den gleichen Fehler weist den Angaben zufolge auch die Authentifizierungs-App von Microsoft für Android-Smartphones auf. Auch Microsoft habe bislang nicht auf den Fehler reagiert. Stattdessen sei es weiterhin möglich, Bildschirmfotos anzufertigen. Sicherheitsforscher argumentieren daher, dass die Kunden besser zu anderen Zwei-Faktor-Authentifizierungsmaßnahmen umsteigen sollten. Anbieter sollten aus Sicherheitsgründen auch über gänzlich andere Methoden zur Authentifizierung - wie etwa Hardware-Schüssel - nachdenken.