PC-Ecke > # Security Center
Android diverses ...
SiLæncer:
Nach einem Hinweis des Projekts "Android Police" hat Google 21 Apps aus dem Android Market entfernt, die einen Exploit für Systemzugriffe auf Geräte enthielten und ausgelesene Daten an einen Server sendeten. Bei den Anwendungen handelte es sich laut Bericht um Modifikationen bereits im Market verfügbarer Apps, die unter anderem Namen des Publishers Myournet wieder eingestellt wurden. [Update] Nach Angaben des Herstellers Lookout hat Google mehr als 50 infizierte Apps aus dem Android Market entfernt.[/Update]
Die Apps trugen etwa Namen wie Falling Down, Super Guitar Solo, Super History Eraser, Photo Editor, Super Ringtone Maker und Super Sex Positions. Schätzungen zufolge wurde sie mehrere zehntausendmal heruntergeladen und installiert.
Bei dem Exploit handelt es sich Analysen der "Android Police" zufolge um den seit längerem bekannten RageAgainstTheCage-Exploit, der einen Fehler im Android-Debugging-Bridge-Dienst (adbd) ausnutzt, um diesen mit Root-Rechten auf einem Android-Smartphone zu starten und darüber selbst an Root-Rechte zu gelangen. Mit diesen Rechten können die Apps auch beliebigen Code nachladen und installieren – ohne Nachfrage beim Anwender. Verwundbar sind Gerät mit Android 1.x, 2.1 und vermutlich 2.2.
Laut Bericht hat Google kurze Zeit nach dem Hinweis der Android Police auf die bösartigen Apps reagiert und diese aus dem Market entfernt. Ob Google auch von der Remote-Remove-Funktion, also der Deinstallation von Apps aus der Ferne, Gebrauch gemacht hat, ist derzeit nicht bekannt. [Update] Laut Lookout hat Google bislang noch keinen Gebrauch gemacht, weil der Vorfall noch untersucht werde.[/Update]
Quelle : www.heise.de
SiLæncer:
Mit seiner "Remote-Removal-Funktion" entfernt Google zurzeit Schadsoftware von Geräten mit Android-Versionen vor 2.2.2. Die Apps waren vor wenigen Tagen im Android-Market entdeckt und aus ihm entfernt worden. Gleichzeitig hat Google, wie das Unternehmen jetzt in einem Blog-Eintrag schreibt, die Accounts der jeweiligen Entwickler abgeschaltet und strafrechtliche Schritte eingeleitet.
Auf den "betroffenen" Geräten werde innerhalb von 72 Stunden ein Patch eingespielt, der den "Exploit rückgängig" mache. Unklar ist, ob damit alle Geräte mit den anfälligen Android-Versionen gemeint sind, oder lediglich die, auf denen die Schadsoftware installiert war. Außerdem werde Google Maßnahmen ergreifen, damit Apps nicht mehr über den Android-Market verteilt werden können, die ähnliche Lücken ausnutzen.
Die Software nutzt nach Erkenntnissen von Kaspersky dieselbe Lücke, die auch für das "Rooten" von Android-Geräten verwendet wird. Allerdings sei der Fehler erst in Android 2.3 behoben. Das Programm stehle zunächst nur Gerätedaten wie die eindeutige IMEI-Nummer und übermittle sie per HTTP-POST in einer XML-Datenstruktur an einen Server. Anschließend setzt sie ein Flag, das ein erneutes Hochladen verhindert, und installiert die Datei sqlite.db in das Paket DownloadProvidersManager.apk. Das so untergeschobene Modul liest eine Liste mit Dateinamen vom Server. Kaspersky vermutet, dass der Autor mit seinem Trojaner Geld verdienen wollte, indem er auf diesem Wege Adware auf dem Gerät installiert.
Quelle : www.heise.de
SiLæncer:
Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.
Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.
Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.
Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.
Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar.
Quelle : www.heise.de
SiLæncer:
Ganz schön dreist: Kriminelle haben sich das von Google verteilte “Android Market Security Tool” zum Löschen der kürzlich im Android Market aufgetauchten Malware-Apps geschnappt und es ebenfalls mit einem Trojaner versehen. Bislang soll die trojanisierte Version des Tools jedoch nur in "nicht-regulierten, chinesischen Marktplätzen" kursieren.
Der Trojaner nimmt Kontakt mit einem Steuerserver auf und soll ersten Analysen von Symantec zufolge in der Lage sein, auf Befehl SMS zu versenden. Laut F-Secure versendet der BGServ genannte Schädling nach der Installation zudem Nutzderdaten an den Server.
Apps aus anderen Quellen als dem Android Market lassen sich jedoch nicht unbeabsichtigt installieren. Dazu muss der Anwender die Option "Unbekannte Quellen" explizit aktivieren. Das trojanisierte "Android Market Security Tool" fordert zudem bei der Installation das Recht zum Versenden von SMS an – was von Android deutlich mit dem Hinweis versehen ist, das dies Geld kosten kann.
Quelle : www.heise.de
SiLæncer:
Google hat nach eigenen Angaben damit begonnen, "die potenzielle Sicherheitsschwachstelle zu schließen, die einem Dritten unter bestimmten Umständen Zugang zu Daten aus Kalender und Kontakten ermöglichte". Die Fehlerbehebung werde global über die nächsten Tage ausgeführt, so Google-Sprecher Kay Oberbeck laut einer Mitteilung. Die Nutzer müssten nicht aktiv handeln, damit die Sicherheitslücke geschlossen wird.
Der Internetdienstleister machte jedoch keine konkreten Angaben, wie er das Problem lösen will. US-Medien zufolge will Google wohl seine Server so konfigurieren, dass bei der Synchronisierung der Kalender und der Kontakte eine verschlüsselte Kommunikation via HTTPS erzwungen wird.
Bei der Picasa-App soll das nicht funktionieren; dort arbeitet Google noch an einer Lösung. Auch in Android selbst hat Google das Picasa-Problem offenbar noch nicht behoben. Auch in Version 2.3.4, in der Google Calendar und Contacts bereits nicht mehr unverschlüsselt synchronisieren, sendet die Picasa-App das Authentifizierungstoken weiter im Klartext.
Forscher der Uni Ulm hatte eine Schwachstelle in der Datenübertragung von Android entdeckt, die Angreifer ausnutzen können, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes AuthentifizierungsToken (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden.
Quelle : www.heise.de
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln