Thema: Android diverses ...

[SiLæncer]

Eine Malware sperrt Android-Geräte mit einem neuen Ansatz, indem sie die PIN verändert. Sie erpresst Nutzer und nistet sich tief im System ein.

In den USA verbreitet sich der erste Android-Trojaner, der die Sperr-PIN des Benutzers setzen und verändern kann. Das berichten Sicherheitsforscher von Eset. Aktuell soll sich "Android/Lockerpin.A" ausschließlich in App Stores von Dritt-Anbietern und Foren finden.

Der Trojaner erschleicht sich Admin-Rechte, um sich tief im System zu verankern. Ein Hinweis, der wie ein Update-Prozess von Google aussieht, verdeckt dabei das Fenster zum Hochstufen der Rechte. Lässt der Nutzer die vermeintliche Update-Installation zu, räumt er im gleichen Moment dem Trojaner unwissentlich Admin-Rechte ein, erläutern die Sicherheitsforscher.

Trojaner erpresst und blockiert Antiviren-Lösungen

Anschließend fordere eine vermeintlich vom FBI verfasste Mitteilung den Nutzer auf, 500 US-Dollar zu zahlen. Geschehe dies nicht, bleibe das Gerät gesperrt. Versuche der Nutzer, die Malware zu entfernen, generiere diese eine neue PIN. Zudem soll sie die Antiviren-Lösungen von Avast, Eset Mobile Security und Dr. Web erkennen und versuchen zu blockieren.

Eset zufolge können Nutzer "Android/Lockerpin.A" ohne ein Rooten des Gerätes nicht loswerden. Erst dann soll es möglich sein, die Datei mit der PIN zu löschen, um die Sperre aufzuheben. Andernfalls helfe nur das komplette Zurücksetzen des Gerätes.

Entfernen über Debug-Modus nicht möglich

Bisher haben Android-Trojaner Geräte gesperrt, indem sie in Form eines dauerhaft eingeblendeten Fensters den Zugriff auf den Sperrbildschirm verhinderten. Derartige Trojaner lassen sich in der Regel vergleichsweise einfach über den Debug-Modus oder den Safe Mode entfernen.

Quelle : www.heise.de

[SiLæncer]

Eine Malware schmuggelte sich zum wiederholten Male in Google Play. Auf Android-Geräten lädt sie beliebigen Schadcode nach und soll sich nicht de-installieren lassen.

Über die Brain-Test-App können Angreifer Android-Geräte rooten und beliebigen Schadcode nachladen. Die Malware hat sich bereits zweimal in Googles App Store geschlichen. Dabei umging die App mittels verschiedener Verschleierungstaktiken die Sicherheitsüberprüfungen von Google Play. Mittlerweile hat Google die Malware aus dem App Store entfernt, berichten Sicherheitsforscher von Check Point.

Den Forschern zufolge haben 200.000 bis 1 Million Nutzer die Malware heruntergeladen. Die App soll immun gegen De-Installationen sein und sich nach dem Entfernen immer wieder neu installieren.

Flexibel und getarnt

Im Betrieb verhalte sich die Malware wie ein Root Kit und lädt Schadcode nach. Angreifer können so etwa Werbung einblenden oder Nutzer ausspionieren.

Um die Malware in Googles App Store zu schmuggeln, setzen die Programmierer der App auf verschiedene Taktiken. So umgehen sie den Sicherheitsforschern zufolge Googles Antimalware-Bouncer, indem die App den Mechanismus erkennen soll und folglich ihre bösen Absichten verschleiert.

Zudem soll das Reverse Engineering aufgrund von etwa dynamischem Nachladen von Code nicht einfach sein. Um Brain Test ein zweites Mal in Google Play anbieten zu können, haben die Angreifer die Merkmale der App mit einem Packer von Baidu verändert.

Malware rootet Geräte

Damit sich Brain Test dauerhaft im Android-System einnisten kann, soll die Malware auf vier Exploits zum Hochstufen der Nutzerrechte setzen. Ist das Gerät nicht gerootet, kümmere sich die Malware eigenständig um den Root-Prozess. Inwieweit das ein Zutun des Nutzers impliziert, führt Check Point nicht aus. Auch die Android-Versionen, mit denen das funktionieren soll, bleiben ungenannt.

Um sich vor einer De-Installation zu schützen, greife die Malware auf zwei mitinstallierte System-Applikationen zurück, die sich gegenseitig überwachen. Wird eine entfernt, soll die andere für eine erneute Installation der de-installierten Applikation sorgen.

Wie man die App plus Anhang loswird, bleibt unklar. Check Point empfiehlt im Falle einer Infektion das Gerät mit einem offiziellen ROM neu zu flashen.

[UPDATE, 22.09.2105 16:15 Uhr]

Der beschriebene Root-Prozess baut unter anderem auf die Sicherheitslücke CVE-2013-6282 auf, die mit Android 4.4 geschlossen worden sein soll. Check Point zufolge funktioniert das Rooten über die Malware aber auch auf einem Nexus 5, was standardmäßig mit Android 4.4 daherkommt. Für einen erfolgreichen Abschluss des Root-Vorgangs führen die Sicherheitsforscher noch ein Tool und einen weiteren, nicht näher spezifizierten Exploit an.

Quelle : www.heise.de

[SiLæncer]

Ein Android-Tablet des Herstellers Oysters kommt mit einem vorinstallierten Trojaner daher. Die Malware ist tief im System verwurzelt und kann quasi alles mit dem Gerät machen, warnen Sicherheitsforscher des Anbieters von Antiviren-Software Dr. Web.

Das Tablet Oysters T104HVi 3G weist eine ab Werk installierte Backdoor auf, dabei versteckt sich der Trojaner Android.Backdoor.114.origin in der Firmware. Das ist besonders heikel, denn so verfügt die Malware über System-Rechte und kann machen, was sie will, warnen Sicherheitsforscher des Anbieters von Antiviren-Software Dr. Web.

Nachdem der Trojaner Kontakt zu den Command-and-Control-Servern der Angreifer aufgenommen hat, soll er Daten wie etwa eine Liste der installierten Apps, die IMSI und die MAC-Adresse weiterleiten.

Trojaner installiert heimlich Malware

Viel schlimmer ist den Sicherheitsforschern zufolge aber, dass der Trojaner im Hintergrund vom Benutzer unbemerkt Applikationen herunterladen und installieren kann. Dafür soll er selbständig die Option zum installieren von Apps aus unbekannten Quellen aktivieren können. So kann etwa Adware oder Spionage-Software auf dem Gerät landen.

Der Trojaner befindet sich den Forschern zufolge in der vorinstallierten App GoogleQuickSearchBox.apk. Entdeckt haben sie das Mitte dieses Monats und den Hersteller umgehend benachrichtigt. Eine Reaktion habe es nicht gegeben. Ein Prüfung der Sicherheitsforscher zeigte, dass die auf der Webseite des Herstellers angebotene Firmware immer noch die Backdoor enthält.

Um den Trojaner loszuwerden, muss man den Forschern zufolge das Gerät rooten oder das Android-System neu installieren. In Deutschland ist der russische Hersteller eher unbekannt, hierzulande gibt es anscheinend keinen Vertrieb für die Geräte.

Quelle : www.heise.de

[SiLæncer]

Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

Joshua Drake, der Vizepräsident von Zimperium, legt nach und zeigt zwei weitere kritische Lücken in verschiedenen Bibliotheken von Android-Geräten auf. Davon sollen alle Android-Versionen betroffen sein.

Über die Schwachstellen können Angreifer Geräte abermals mittels präparierter MP3- und MP4-Dateien kompromittieren, eigenen Code ausführen und etwa Smartphones in Wanzen verwandeln. Die Angriffswege sind dabei vielfältig, warnen die Sicherheitsforscher und Angreifer können Geräte über eine präparierte Webseite oder App entern.

Zimperium versichert, dass es noch keine Übergriffe gegeben hat. In ihrer Mitteilung zu den neuen Lücken erläutern die Sicherheitsforscher, dass sie das stetig überwachen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google verspricht für Smartphones und Tablets mit Android 6.0 Marshmallow eine standardmäßige Systemverschlüsselung. Das gilt aber nicht alle Geräte.

Mit Android 6.0 Marshmallow will Google die Vollverschlüsselung ab Werk vorantreiben. Einem Kompatibilitätsbericht des Konzerns zufolge (PDF-Download) soll das aber nur bei Smartphones und Tablets mit genügend Rechenkraft der Fall sein.

Dabei muss ein Gerät dem Bericht zufolge kryptografische Berechnungen (AES ab 128 Bit) mit mindestens rund 52 MBit/s durchführen können und über genügend Arbeitsspeicher verfügen; die minimale Größe verschweigen die Autoren. Sind diese Bedingungen erfüllt, muss das Gerät die Vollverschlüsselung im Anschluss an die Einrichtung des Gerätes standardmäßig aktivieren.

Ältere, auf Android 6.0 aktualisierte Geräte profitieren Google zufolge nicht von der standardmäßigen Aktivierung der Komplettverschlüsselung. Ausnahmen seien das Nexus 6 und Nexus 9.

Eigentlich wollte Google die Komplettverschlüsselung schon mit Android 5.0 Lollipop obligatorisch machen. Der Konzerne ruderte aber zurück und beschränkte die Vorgabe auf die Nexus-Geräte.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch Geräte rooten und ausspionieren kann.

20.000 Klone von populären Apps, wie etwa Facebook und Whatsapp, sollen Android-Smartphones und -Tablets mit Werbung verseuchen und sogar rooten können. Davor warnen Kryptologen von Lookout. Sie bezeichnen die Malware als Adware-Trojaner.

Die bösartigen Klon-Apps sollen sich ausschließlich in App Stores von Dritt-Anbietern finden. Lookout zufolge verhalten sich die verseuchten Apps wie die Original-App, sodass der Nutzer keinen Verdacht schöpft. Von den Adware-Trojanern sollen auch Nutzer in Deutschland betroffen sein.

Unter den 20.000 Funden befinde sich auch ein bösartiger Klon der Zwei-Faktor-Authentifizierungs-App von Okta, die in Firmen zum Einsatz kommen soll. Lookout warnt an dieser Stelle vor möglicher Spionage durch den Trojaner-Teil des Schädlings.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Verschiedene Apps von Online-Gaunern in Google Play, mit bis zu 1 Million Downloads, weisen durchweg eine Wertung von mindestens 4/5 auf. Sicherheitsforscher haben die Vorfälle untersucht.

In Googles App Store sollen sich verschiedene Malware-Apps vom gleichen Entwickler gegenseitig positiv bewerten und entsprechende Reviews verfassen. Zudem sind die Apps in der Lage, sich wechselseitig herunterzuladen, um so eine große Nutzerbasis vorzutäuschen, warnen Sicherheitsforscher von Lookout.

Lässt sich ein Nutzer davon täuschen und installiert eine der bösartigen Apps, können diese Geräte rooten und unter anderem andere Apps nachladen und installieren, erläutern die Kryptologen.

Provision für jeden Download

Sie gehen davon aus, dass die Malware-Entwickler Teil eines Affiliate-Netzwerkes sind und damit Geld verdienen, dass sie anderen App-Entwicklern eine bestimmte Downloadanzahl von deren Apps garantieren.

Google soll bereits reagiert und dreizehn derartiger Malware-Apps aus dem App Store entfernt haben. Die Namen der Apps finden sich in dem Blogeintrag von Lookout. Wie sich die Apps an den Sicherheitsmechanismen von Google Play vorbei gemogelt haben, erläutern die Sicherheitsforscher nicht.

Malware-App zum wiederholten Male in Google Play

Als Beispiel der Malware-Familie zählen die Kryptologen etwa die App Brain Test auf, die im September vergangenen Jahres bereits zum wiederholten Male in Google Play auftauchte. Diese soll verschiedene Sicherheitslücken in nicht näher beschriebenen Android-Versionen für den Root-Vorgang ausnutzen.

Zudem soll sich die Malware in der System-Partition von Android verankern und selbst nach einem Reset auf die Werkseinstellungen noch vorhanden sein. Lookout zufolge müssen Nutzer das Gerät mit einem ROM neu flashen, um den Schädling loszuwerden.

Quelle : www.heise.de

[SiLæncer]

Die Voll-Verschlüsselung von Android-Smartphones weist ein ernsthaftes Design-Problem auf, das die geschützten Daten sehr angreifbar macht, erklärt ein Sicherheits-Forscher. Er belegt dies mit konkretem Code, der Brute-Force-Angriffe demonstriert.

Aktuelle Smartphones schützen die Daten ihrer Nutzer durch Verschlüsselung. Bei iPhones ist diese Verschlüsselung so gut, dass selbst das FBI Probleme hat, an die Daten zu kommen. Android kann eine ähnliche Verschlüsselung vorweisen. Allerdings weist diese ein konzeptionelles Problem auf, das das Entschlüsseln der Daten deutlich leichter macht. Wie das geht, erläutert und demonstriert jetzt ein Sicherheits-Forscher sogar mit konkretem Beispiel-Code für Geräte mit Qualcomm-Prozessoren.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Juli schließt Google so viele Android-Lücken wie nie zuvor. Um es den Herstellern leichter zu machen, kamen die Patches in zwei Schüben. Einige Android-Nutzer dürften bereits eine abgesicherte Version nutzen, andere müssen warten.

Der Android-Patchday im Juli hat gewaltige Ausmaße: Über 100 Lücken hat Google in seinem populären Mobilbetriebssystem geschlossen – weitaus mehr als je zuvor. Rund ein Drittel davon ist kritisch, eignet sich also etwa zum Einschleusen von Schadcode aus der Ferne. Die Sicherheits-Patches kommen erstmals in zwei Schüben. Damit will Google den Geräteherstellern das Patchen erleichtern.

Die kritischen Lücken betreffen unter anderem den Mediaserver, die Krypto-Bibliotheken OpenSSL und BoringSSL sowie den USB-Treiber. Auch einige hardwarespezifische Komponenten wurden aktualisiert, etwa der WLAN-Treiber von MediaTek und etliche Module von Nvidia und Qualcomm.

Google hat die Patches, die alle Geräte betreffen und somit von allen Herstellern sofort eingespielt werden können, zu dem Patch-Paket 2016-07-01 zusammengeschnürt. Die übrigen, zum Teil hardwarespezifischen Patches, befinden sich in dem Patch-Paket 2016-07-05. Google möchte es den Herstellern so leichter machen, die wichtigen Security-Patches in die Firmware zu integrieren. Es gibt somit zwei Patch-Stände, sogenannte Patch-Level. Google erklärte, dass es durchaus möglich ist, Patches aus dem zweiten Paket zu ziehen, wenn sich ein Hersteller für das erstere entscheidet.

Einige Hersteller wie Blackberry, LG und Samsung gehen mit gutem Beispiel voran bieten bereits abgesicherte Firmware-Images zur Installation an. Google hat wie gewohnt ebenfalls reagiert und bespielt seine Nexus-Geräte Over-The-Air (OTA) mit frischer Firmware. Berücksichtigt wurden Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, und Pixel C. Alternativ kann man die Firmware-Images manuell herunterladen und installieren. Andere Hersteller lassen sich gerne etwas länger Zeit – sofern sie denn überhaupt etwas tun.

Quelle & Links : http://www.heise.de/security/meldung/Rekord-Patchday-Google-patcht-ueber-100-Android-Luecken-in-zwei-Schueben-3262134.html

[SiLæncer]

Mit dem aktuellen Patchpaket für seine Nexus- und Pixel-Geräte schließt Google unter anderem mehr als ein Dutzend als kritisch eingestufte Schwachstellen. Besitzer von Geräten anderer Hersteller müssen wie gewohnt warten.

Mit seiner Sicherheitspatch-Sammlung im April schließt Google insgesamt 102 Sicherheitslücken in Android. Davon sind 15 Schwachstellen als kritisch eingestuft. Setzen Angreifer an diesen Lücken an, sollen sie mit vergleichsweise wenig Aufwand die Kontrolle über Smartphones und Tablets übernehmen können, warnt Google.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Zwei App-Berechtigungen des Android-Betriebssystems lassen sich dazu missbrauchen, alles auszuspionieren, was der Nutzer auf der Tastatur eingibt. Außerdem kann man bösartige Apps auf diesem Wege mit beliebigen App-Rechten versorgen.

Zwei App-Rechte des Android-Betriebssystems lassen sich missbrauchen, um einen universellen Keylogger zu bauen, der alles mitliest, was der Benutzer des Gerätes in die Tastatur tippt. Außerdem kann ein Angreifer sie dazu nutzen, einer bösartigen App unbeschränkte App-Rechte zu verschaffen. Entdeckt haben die Angriffe mehrere Sicherheitsforscher der Universitäten in UC Santa Barbara und Georgia Tech in den USA. Sie gaben ihnen den Namen Cloak & Dagger. Die Lücken sind nach wie vor offen, Google verhindert nun allerdings, dass Apps, die sie ausnutzen, in den Play Store geladen werden. Außerdem soll Android O (die nächste Version des Betriebssystems) die Lücken schließen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google baut seinen Patchday geringfügig um und spendiert den hauseigenen Nexus- und Pixel-Serien eine Extrawurst. Diesen Monat stehen unter anderem Sicherheitsupdates für fünf als kritisch geltende Schwachstellen bereit.

Von jetzt an stellt Google am monatlichen Patchday zusätzlich zu allgemeinen Android-Sicherheitsupdates noch Extra-Sicherheitspatches für einige seiner Nexus- und Pixel-Geräte bereit. Dafür gibt es nun eine weitere monatlich erscheinende Sicherheitswarnung.

Die bislang gewohnte Zusammenfassung von Android-Sicherheitspatches erscheint in Zukunft weiterhin. An diesen Updates können sich andere Hersteller bedienen, aber auch noch unterstützte Nexus- und Pixel-Geräte erhalten diese Patches. Google rät LG, Samsung & Co. die Extra-Sichereitsupdates für die Nexus- und Pixel-Serien zu studieren und gegebenenfalls für eigene Geräte aufzugreifen. Den Bedrohungsgrad dieser Lücke stuft Goolge diesen Monat überwiegend als "moderat" ein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Updates schließen mehrere als kritisch eingestufte Sicherheitslücken in diversen Android-Smartphones und -Tablets. Die Patches stehen für Geräte ab Android 5.1.1 bereit.

Am Android-Patchday im Februar hat Google 28 Sicherheitsupdates für Software- und Treiber-Lücken veröffentlicht. Seit Oktober 2017 bekommen die hauseigenen Nexus- und Pixel-Geräte noch weitere Patches, die andere Android-Hersteller adaptieren können. Diesen Monat sind das 29 Stück.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die monatlich von Google veröffentlichten Sicherheits-Patches für Android betreffen im Juli ausnahmslos Lücken mit hohem bis kritischem Schweregrad.

Wie jeden Monat hat Google auch im Juli eine ganze Reihe von Lücken im Android-Betriebssystem gestopft und einen detaillierten Sicherheitshinweis zum aktuellen Patch-Level (ab 2018-07-05 aufwärts) veröffentlicht.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wie bereits im Vormonat hat Google auch beim aktuellen Patchday durchweg Sicherheitslücken mit hohem bis kritischem Schweregrad beseitigt.

Zum August-Patchday hat Google mehr als 40 Sicherheitslücken im Android-Betriebssystem geschlossen. Wie bereits im Juli bewertet das Unternehmen das Risiko, das von den im Security Bulletin aufgeführten Lücken ausgeht, durchweg als hoch bis kritisch.

Dieses Mal stecken besonders viele von ihnen in Closed-Source-Komponenten von Qualcomm und werden dementsprechend nicht näher erläutert.

Über einige weitere Lücken, die sich unter anderem im (Media) Framework sowie in Komponenten des Kernels befinden, verrät das Bulletin mehr: Angreifer könnten sie unter anderem ausnutzen, um – teils auch aus der Ferne – vertrauliche Informationen auszulesen oder beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.

Der Patch-Level 2018-08-01 schließt einige, Patch-Level 2018-08-05 sämtliche Lücken.

Wie üblich gibt Google an, zertifizierte Partnerunternehmen mindestens einen Monat vor Veröffentlichung des Sicherheitshinweises über die bevorstehenden Patches informiert zu haben, um ihnen ausreichend Zeit für eigene Updates zu geben.

Moderat bis kritisch: Lücken in Pixel und Nexus

Das wie üblich separate Security Bulletin für Googles Pixel- und Nexus-Geräte listet vor allem Sicherheitslücken moderaten Schweregrads auf. Lediglich eine einzige bezeichnet Google als kritisch. Auch sie befindet sich in einer Qualcomm-Komponente – diesmal verlinkt das Google aber technische Details zur (WLAN-)Lücke (siehe CVE-2017-15817 im Bulletin).

Im Gegensatz zu vielen Drittanbietergeräten erhalten Googles Smartphones sämtliche Patches automatisch im Rahmen des regulären Update-Prozesses.

Quelle : www.heise.de