Sicherheit

Sicherheitslücken in vorinstallierten Android-Apps

von - 05.12.2011
Sicherheitslücken in vorinstallierten Android-Apps
Wissenschaftler der North Carolina State University haben die Sicherheit von Android-Smartphones untersucht. Dabei mussten sie feststellen, dass einige Hersteller äußerst fahrlässig mit den Zugriffsrechten umgehen.
Wissenschaftler von der North Carolina State University haben in der Studie „Systematic Detection of Capability Leaks in Stock Android Smartphones“ (PDF-Datei) acht Smartphones getestet. Dabei handelt es sich um die HTC-Modelle Legend, EVO 4G und Wildfire S, um die Motorola-Smartphones Droid und Droid X, Samsungs Epic 4G (Galaxy S Pro) und um Googles Nexus One und Nexus S. Untersucht wurden 13 Zugriffsrechte für Lokalisierung, Zugriff auf Kontakte oder den SMS-Versand.
Die Ergebnisse verblüffen. Über alle getestete Smartphones verteilt, entdeckten die Forscher Lücken für elf Zugriffsrechte in den vorinstallierten Apps. Am stärksten ist laut Analyse das HTC Evo 4G betroffen, das im Test acht Zugriffsrechte preisgab. Die Wissenschaftler fanden mit dem selbst entwickelten Programm „Woodpecker“ heraus, dass die Apps in fünf von acht untersuchten Smartphones ihre Rechte an andere Apps weitergeben können, ohne dass der Nutzer davon erfährt.
Hacker müssten nur Programme erstellen, die diese Sicherheitslücken ausnutzen und damit die Rechte der vorinstallierten Apps „erben“. Sie könnten dann beispielsweise Daten ausspionieren oder löschen, SMS-Nachrichten verschicken, die Kommunikation abhören und den Standort des Gerätes bestimmen können. Beim Samsung Epic 4G ist per Fernsteuerung sogar eine Zurücksetzung auf Werkseinstellung möglich.
Bei den Google Referenz-Smartphones Nexus One und Nexus S wurden die Forscher nicht fündig. Die hier installierte Software stammt ausschließlich von Google, Zusatzprogramme eines Herstellers gibt es nicht. Das HTC Legend, EVO 4G und Wildfire S, Motorolas Droid X und das Epic 4G von Samsung zeigten dagegen alle deutliche Schwachstellen..
Inzwischen haben Google und Motorola die Schwachstellen bestätigt und werden diese Sicherheitslücken stopfen. HTC und Samsung haben noch nicht reagiert.
Besitzer der betroffenen Geräte sollten besonders vorsichtig sein, wenn sie zusätzliche Apps installieren. Auch wenn diese nur geringe Rechte anfordern, könnten sie durch Ausnutzung der Sicherheitslücken höhere Rechte erlangen.
Verwandte Themen