zur Navigation springen

Dreyklufts Netzwelt : Cloak und Dagger: Schallende Ohrfeige für Google wegen Android-Lücke

vom

Eine massive Sicherheitslücke bedroht Nutzer des Betriebssystems. Und Google unternimmt zunächst nichts.

von
erstellt am 30.Mai.2017 | 17:54 Uhr

Googles Handy-Betriebssystem ist viel unsicherer als Apples iOS. Diese oft pauschal geäußerte Meinung dient vielen als Argument, mehr Geld für ein iPhone auszugeben als für ein vergleichbares Android-Gerät. Der strenge Zulassungsprozess für Apples App-Store wird als Grund genannt. Und die Tatsache, dass man – für die meisten Nutzer eher theoretisch – auf Android-Geräten Software auch unter Umgehung von Googles Play-Store auf sein Handy laden kann. Bislang hielt ich die Unterschiede für nicht allzu gravierend. Nun schon.

Forscher der University of California Santa Barbara und des Georgia Instituts of Technology haben eine Sicherheitslücke bei Android entdeckt, die so gravierend ist, wie ich es nie für möglich gehalten hätte.

Dabei geht es um zwei Berechtigungen in Android. Berechtigungen sind etwa Erlaubnisse für eine App, die Kamera oder das Adressbuch benutzen zu dürfen. Normalerweise muss der Nutzer dem zustimmen.

Die eine Berechtigung („SYSTEM ALERT WINDOW“) legt ohne explizite Zustimmung oder Warnung ein Fenster über den Bildschirm, mit dem etwa Tastatureingaben abgefangen werden können.

<p>Die Illustration der Forscher zeigt, wie sich eine Maske über die Tastatur legt, um Eingaben abzufangen. In Wirklichkeit ist die Maske nicht rosa gefärbt.</p>

Die Illustration der Forscher zeigt, wie sich eine Maske über die Tastatur legt, um Eingaben abzufangen. In Wirklichkeit ist die Maske nicht rosa gefärbt.

 

Die andere („BLIND ACCESSIBILITY SERVICE“) kann Tastatureingaben simulieren.

Im Ergebnis können Angreifer mit dieser „Cloak and Dagger“ („Mantel und Dolch“) genannten Angriffstechnik die Kontrolle über das Smartphone übernehmen. Die Forscher haben das mit einer modifizierten Facebook-App bei Testnutzern ausprobiert: „Niemand der 20 Testpersonen schöpfte den Verdacht eines Angriffs. Noch Besorgnis erregender ist, dass niemand auch nur etwas Ungewöhnliches bemerkt hat.“

<p>Die Forscher zeigen hier, wie eine Warnung überdeckt wird, um den Smartphone-Nutzer in Sicherheit zu wiegen. Die rote Farbe und Durchsichtigkeit dient nur der Illustration.</p>

Die Forscher zeigen hier, wie eine Warnung überdeckt wird, um den Smartphone-Nutzer in Sicherheit zu wiegen. Die rote Farbe und Durchsichtigkeit dient nur der Illustration.

 

Die Forscher stellen auch klar: „Google gab sofort alle Probleme zu, die wir aufgedeckt haben. Trotzdem  gibt es bislang keine umfassende Behebung des Fehlers.“ Weiter heißt es: „Wir gehen davon aus, dass dies eine freiwillige Entscheidung von Google zu sein scheint und kein Fehler. “ Das Einführen einer Sicherheitswarnung würde den Nutzer aus Google-Sicht wohl stören.

Mit einem einfachen Sicherheits-Update, wie Google es einmal im Monat verschickt, ist das Problem laut den Forschern nicht zu beheben.   Google müsste das gesamte Berechtigungskonzept bei Android überarbeiten. Das wird wohl erst mit der neuen Android-Variante „O“ im Herbst passieren. Apps, von denen Google weiß, dass sie „Cloak and Dagger“ ausnutzen, hat Google aber inzwischen aus dem Play-Store entfernt.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen