Thema: Android diverses ...

[SiLæncer]

Virenschutzprogramme für Android lassen sich zumeist mit trivialen Mitteln austricksen, wie Forscher von der Northwestern University und der North Carolina State University herausgefunden haben (PDF-Datei). Die Wissenschaftler haben ein Tool namens DroidChameleon entwickelt, das bekannte Malware-Apps auf vielfältige Weisen modifizieren kann, um sie der Erkennung zu entziehen

Das Gros der zehn untersuchten Scanner setzte vor allem auf die signaturbasierte Analyse. In einigen Fällen reichte es deshalb bereits aus, den Paketnamen in den Metadaten zu ändern, damit der Virenscanner einen Schädling für harmlos hielten. Auch durch Entpacken und anschließendes erneutes Erstellen der Installationspakete ließ sich so mancher Scanner aus dem Tritt bringen. In anderen Fällen hatten die Forschern durch das Verschlüsseln von Teilen der App oder das Umleiten von Funktionsaufrufen Erfolg.

Das Fazit ist eindeutig: Alle zehn untersuchten Virenschutzprogramme ließen sich auf die ein oder andere Weise austricksen. Viele der eingesetzten Methoden sind bei Windows-Malware längst üblich und einzelne wurden sogar schon zur Verbreitung von Android-Malware genutzt. Das Testfeld setzt sich aus Virenschutzprogrammen von AVG, Dr. Web, ESET, ESTSoft, Kaspersky, Lookout, Symantec, Trend Micro, Webroot und Zoner zusammen.

Immerhin wissen die Forscher auch etwas Positives zu berichten: Im Testzeitraum von Februar 2012 bis Februar 2013 haben sich die Testkandidaten stetig verbessert. Sind den Programmen anfangs insgesamt noch 43 Prozent der trivial modifizierten Malware durch die Lappen gegangen, waren es ein Jahr später nur noch 16 Prozent. Das macht Hoffnung.

Gut beraten ist einmal mehr, wer die Installation von Apps aus nicht vertrauenswürdigen Quellen, das sogenannte Sideloading, erst gar nicht einschaltet. Die meisten Schädlinge kreuchen und fleuchen abseits des offiziellen Downloadkatalogs Google Play – nämlich in Tauschbörsen, Foren und alternativen App-Portalen. Da Google die Apps vor der Aufnahme in seinen Shop zumindest oberflächlich prüft und sie bei Beschwerden recht schnell entfernt, segelt man hier derzeit noch in relativ ruhigen Gewässern.

Quelle : www.heise.de

[SiLæncer]

"Sehr geehrter Herr Meier, wir erinnern Sie, dass [..] die Nutzung des mobilen TAN-Services nur mit der Zertifikat App möglich ist." Wenn diese Nachricht einen mTAN-Nutzer auf seinem fürs Online Banking registrierten Handy als SMS erreicht und auch noch den korrekten Namen trägt, kann man schon ins Schleudern kommen.

Doch trotz all dieser scheinbaren Authentizität handelt es sich bei der zu installierenden App dennoch um einen Trojaner, der mTANs abfangen und an die Betrüger weiterleiten soll. Woher die den korrekten Namen und die Telefonnummer der Opfer haben, ist allerdings immer noch ein Rätsel. Die bisherigen Versuche, diesen mTAN-Trojaner unter die Leute zu bringen, beruhten auf breit gestreuten E-Mails. In der Regel führt der abschließende Link der Mail oder SMS auf eine Seite mit einer konkreten Installationsanleitung für die Trojaner-App. Diese erklärt unter anderem, wie man das Installieren von Apps aus unbekannten Quellen frei schaltet.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ein seit Jahren bekanntes Einfallstor in WLAN-Geräte ist immer noch nicht überall geschlossen und inzwischen auch gefährlich für Smartphones oder Tablets. Das berichtet Help Net Security unter Berufung auf den Sicherheitsexperten Raul Siles und erläutert den möglichen Einbruch. Den hatte Sebastian Schreiber von SySS schon vor fünf Jahren anhand eines Laptops vorgeführt. Gelöst worden sei das Problem inzwischen nur bei Windows und Windows Phone, während iOS- und Android-Geräte nach wie vor attackierbar seien.

Angriffspunkt ist die Liste bekannter Funknetze (Preferred Network List, PNL). Sie sammelt Netzwerke, mit denen das Gerät verbunden wurde. Ist die WLAN-Funktion aktiv, testet das Mobilgerät regelmäßig von sich aus per Probe Request, welches dieser Netze verfügbar ist, um eine Verbindung herzustellen. Dabei teilt es der Umgebung nach und nach die PNL mit. Ein Angriffsrechner kann sich dann als eines dieser Netzwerke ausgeben und hoffen, dass das Opfer sich zu verbinden versucht. Das hat glücklicherweise nur Aussicht auf Erfolg, wenn der Nutzer bei Funknetzen mit Radius-Authentifizierung Warnungen vor ungültigen Zertifikaten ungeprüft abnickt oder unverschlüsselte WLANs nutzt. Letzteres ist leider bei vielen WLAN-Hotspots unvermeidlich, dort ist also besondere Vorsicht geboten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

F-Secure hat eine Android-Spionage-App entdeckt, die zum Ausspähen von Windows-Rechnern genutzt werden kann. Die App kann ihre Wirkung entfalten, wenn ein Android-Gerät an Windows-Rechner angeschlossen wird. Dort verschafft sich USB-Cleaver (USB-Hacker) Zugriff auf die Passwörter und die Systeminformationen des Rechners. Der Angriff kann aber nur funktionieren, wenn Autorun aktiviert oder die .exe auf der SD-Card direkt ausgeführt wird. Bei neueren Windows-Versionen ist die Autorun-Funktion standardmäßig deaktiviert.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Android-Anwendungen sind mit einer Signatur versehen, die die Integrität des APK-Pakets gewährleisten soll. Bei der Installation prüft das Betriebssystem seinen Inhalt anhand der Signatur und warnt, wenn es eine Manipulation feststellt. Das erst Mitte 2012 gegründete US-Unternehmen Bluebox will nun einen Fehler in diesem Verfahren entdeckt haben, der das Einschleusen beliebigen Codes in APK-Dateien ermöglicht, ohne die Signatur zu brechen. Laut Bluebox sind Apps in Googles Android-Shop "Play" von der Sicherheitslücke nicht betroffen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Bei Google Play und in Amazons Android-Store bietet Bluebox eine kostenlose App an, die das Mobilgerät auf den kürzlich von derselben Firma entdeckten Code-Signatur-Fehler untersucht. Außerdem meldet sie, ob man auf dem Gerät Software aus anderen Quellen als Google Play beziehen kann und ob bereits Software installiert ist, die den Signatur-Bug ausnutzt.

Unter den Nutzerbewertung bei Play halten sich Zustimmung und Ablehnung fast die Waage. Kunden kritisieren, dass nicht alle Apps untersucht würden und dass das Programm eine Einstellung anzeigt, die der Benutzer selbst vorgenommen hat. Auch werden Zweifel an der Gefährlichkeit des Bugs geäußert: Aus Play bezogene Software ist nachweislich nicht davon betroffen.

Bluebox hatte den Fehler vor einigen Tagen publik gemacht, ohne Details dazu zu verraten. Das sollte am 1. August 2013 auf der BlackHat-Konferenz geschehen. Ein Außenstehender ist jedoch dem Unternehmen zuvorgekommen: Er untersuchte den Patch der CyanogenMod-Entwickler und entwickelte daraufhin einen beispielhaften Exploit. Google will den Fehler bereits im März 2013 behoben haben, bislang gab es jedoch nur für Samsungs Galaxy S4 ein Update, das die Korrektur enthält.

Der Bug beruht darauf, dass Android mehrfach vorhandene Dateien in einer APK-Datei nicht erkennt. Dieses dem bekannten ZIP entsprechende Format fasst die Dateien einer App zu einem Paket zusammen, das ebenfalls eine Liste mit Hash-Werten aller Dateien enthält. Normalerweise sollte Android die Hash-Werte der im Archiv enthaltenen Files damit vergleichen und bei Abweichungen die Installation abbrechen. Kommt jedoch ein Dateiname zweimal im APK-Archiv vor, prüft Android bei einer Variante den Hash und installiert die andere. So lassen sich dem Betriebssystem manipulierte Programme unterschieben, allerdings nicht aus Googles Play.

Quelle : www.heise.de

[SiLæncer]

Chinesische Blogger haben eine Sicherheitslücke im Android-Betriebssystem entdeckt, die eine ähnliche Wirkung haben soll wie die Schwachstelle, die vor zwei Wochen von der Firma Bluebox veröffentlicht wurde. Das Unternehmen hatte gezeigt, dass sich Androids App-Signaturprüfung austricksen lässt. Bereits installierte Apps können so manipuliert werden, dass Angreifer die Kontrolle über das Gerät erhalten – je nachdem, wie viele Rechte die manipulierte App inne hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Mit "Meine Daten sichern" speichert Android unter anderem WLAN-Passwörter im Klartext bei Google. Das ist zwar nicht ganz neu, aber insbesondere Firmen sollten das im Licht des jüngsten Abhörskandals nochmal neu bewerten.

Diese Sicherung ist zumindest auf einem Google Nexus standardmäßig eingeschaltet; ein wie auch immer geartetes Passwort ist dafür nicht vorgesehen. Zu Gute halten kann man dem US-Konzern immerhin, dass er den Sachverhalt mit "WLAN-Passwörter ... auf Google-Servern sichern" klar beschreibt. In Tests von heise Security konnte sich denn auch ein auf Werkseinstellungen zurückgesetztes Android-Smartphone sofort nach der Synchronisierung mit einem Google-Account in ein WPA2-gesichertes Heise-Testnetz einbuchen. Jeder der Zugang zu dem Google-Account hat, kommt folglich auch an das WLAN-Passwort.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Zwei weitere Tools sollen Android-Nutzer davor bewahren, dass bösartige Apps die "MasterKey" getaufte Schwachstelle (und die chinesische Variante) in Googles Betriebssystem ausnutzen. Das wirksamere der beiden erfordert allerdings Root-Rechte.

ReKey packt das Übel an der Wurzel und injiziert den von Google entwickelten Patch in Smartphones und Tablets, auf denen Android 2.0 oder höher läuft. Das hat den Vorteil, dass man seine Geräte sofort schützen kann und nicht darauf warten muss, dass die Hersteller gepachte Android-Versionen freigeben. In vielen Fällen dürfte das Warten ohnehin vergebens sein, da die Unternehmen schnell das Interesse daran verlieren, die Software von älteren Geräten auf dem aktuellen Stand zu halten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Netz kursiert ein Remote Adminstration Toolkit (RAT) für Android, mit dem sich offenbar beliebige Android-Apps trojanisieren lassen. AndroRAT gestattet seinem Herren unter anderem Zugriff auf SMS-Nachrichten, GPS-Koordinaten, Kamera und Mikrofon – ohne dass der Smartphone-Besitzer davon etwas mitbekommt.

Obwohl AndroRAT das wohl erste Remote Administration Toolkit für Android ist, versuchen die Entwickler kein Kapital daraus zu schlagen. Sie haben den Quellcode für jedermann zugänglich bei GitHub eingestellt. Laut der Projektbeschreibung wurde das Tool von einem vierköpfigen Entwicklerteam im Rahmen eines Uni-Projekts erstellt. "Das Ziel der Anwendung ist, das Android-System aus der Ferne zu kontrollieren und Informationen davon abzurufen", heißt es.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google hat auf die von heise Security kritisierte Passwort-Speicher-Praxis von Android mit einer Stellungnahme reagiert. heise Security hatte festgestellt, dass die Backup-Funktion "Meine Daten sichern" unter anderem WLAN-Passwörter ohne spezielle Schutzmaßnahmen im Google-Konto des Anwenders speichert. Nun erklärt das Unternehmen:

" Die optionale Funktion "Meine Daten sichern" erleichtert den Wechsel zu einem neuen Android-Gerät, indem man mit seinem Google-Konto und Passwort einige der vorherigen Einstellungen wiederherstellen kann. Dadurch wird der Aufwand, ein neues Gerät von Grund auf neu einzurichten, vermieden. Nutzer können diese Funktion zu jedem Zeitpunkt deaktivieren, was dazu führt, dass Daten gelöscht werden. "

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Seit über zwei Tagen versuchen wir, den Google-Servern ein von Android standardmäßig gesichertes WLAN-Passwort wieder zu entreißen – vergeblich. Auch zwei Tage, nachdem wir das Backup deaktiviert und der Löschung der Passwörter zugestimmt haben, spielt uns Google bei einer Synchronisierung mit dem Account das Passwort wieder aufs Smartphone. Gelöscht kann es also nicht sein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Antivirenexperten von Symantec haben in Fernost erste Apps entdeckt, welche die sogenannten Masterkey-Schwachstellen in Android ausnutzen. Durch die Lücken kann ein Angreifer Apps manipulieren, ohne deren digitale Signatur zu beschädigen. In den von Symantec untersuchten Fällen handelt es sich legitime Apps, denen nachträglich ein Trojaner namens Skullkey injiziert wurde. Die Cyber-Kriminellen haben dem Installationspaket (.apk) zwei Dateien hinzugefügt: Eine weitere classes.dex mit Programmcode und eine weitere AndroidManifest.xml, welche die anzufordernden Rechte festlegt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das Android Security Team lokalisierte die Ursache für einen Bitcoin-Diebstahl, der Anfang der Woche bekannt wurde: Androids in Java realisierte Verschlüsselung (Java Cryptography Architecture, kurz: JCA) verwendet schwache Zufallszahlen. Das betrifft potentiell alle Apps, die auf Android-Smartphones Verschlüsselung einsetzen. Es ist bereits ein Fall bekannt, in dem dieses Problem genutzt wurde, um Bitcoins im Wert von über 5000 US-Dollar zu stehlen.

Das Problem lässt sich auf eine schlechte Intialisierung des eingesetzten Pseudozufallszahlen-Generators zurückführen (Pseudo Random Number Generator, PRNG). Ein solcher PRNG liefert zwar Zahlenfolgen die nicht erkennbar korreliert sind; aber mit dem gleichen Startwert liefert er jedes Mal die gleiche Folge. Kommen nur wenige Startwerte zum Einsatz, gibt es nur wenig "Zufallszahlen" und Angreifer können ihre Brute-Force-Attacken auf bestimmte Wertebereiche einschränken.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google hat offenbar begonnen, das erste Update für die aktuellste Hauptversion seines mobilen Betriebssystems zu verteilen. Details zu den Änderungen sind nicht bekannt, möglicherweise hängt das Update aber mit einer Bitcoin-Sicherheitslücke zusammen.

Wie Mitglieder der bekannten Entwickler-Community xda-developers (via Android Central) berichten, hat Google begonnen, ein nicht näher definiertes Anadroid-4.3-Update zu verteilen. Bisher wurde dieses allerdings nur bei Nexus-4- sowie Galaxy-Nexus-Geräten gesichtet, eine entsprechende Bestätigung (für das N4) liegt in Form eines aktualisierten Support-Beitrags beim US-Ableger von T-Mobile vor.

Bei diesem Update handelt es sich allerdings nicht um die von vielen Nexus-Besitzern herbeigesehnte Aktualisierung auf Android 4.3.1, als Versionsnummer scheint beim nun verteilten Sicherheits-Patch nach wie vor die 4.3 auf, es ändert sich lediglich die Versionsnummer bzw. -bezeichnung des Builds (von JWR66V auf JWR66Y).

Details zu Änderungen liegen nicht vor, bei T-Mobile wird als "Verbesserung" nur Sicherheit erwähnt. Ein offizieller Beitrag oder sonstigen Aussagen seitens Google stehen im Moment ebenfalls noch nicht zur Verfügung.

Spekulationen gibt es allerdings, dass das Update mit einer vor knapp zwei Wochen entdeckten Schwachstelle im Zusammenhang mit der Bitcoins-Währung zusammenhängen könnte. Die erwähnte Android-Lücke betrifft Bitcoin-Wallet-Apps, die durch einen nicht ordnungsgemäß funktionierenden Zufallszahlengenerator für Angriffe anfällig sind.

Neuigkeiten zum erwarteten bzw. erhofften Update auf Android 4.3 gibt es indes keine. Die neueste "Geschmacksrichtung " von Jelly Bean hat auf manchen Nexus-4-Geräten für Abstürze und Hänger gesorgt, diese ließen sich bisher lediglich durch ein Zurücksetzen der Firmware auf Version 4.2 des Betriebssystems eliminieren.

Quelle : http://winfuture.de