Palo Alto Networks: Schwachstelle setzt Android-Benutzer Datendiebstahl und Malware aus

Ryan_Olson Palo Alto Networks

Palo Alto Networks hat heute Details zu einer weit verbreiteten Schwachstelle in Googles Android-Betriebssystem bekannt gegeben. Diese macht es Angreifern möglich, die Installation einer scheinbar sicheren Android-Anwendung – der Android-Paketdatei (APK) – zu kapern und durch eine App der Wahl des Angreifers zu ersetzen, ohne dass Benutzer davon etwas mitbekommen. Die Ausnutzung dieser Sicherheitslücke, die Schätzungen zufolge etwa 49,5 Prozent der aktuellen Android-Gerätenutzer betrifft, ermöglicht es Angreifern, Malware zu verteilen, Geräte zu kompromittieren und Benutzerdaten zu stehlen. Palo Alto Networks hat heute auch eine Anwendung an den Start gebracht, die potenziell betroffenen Android-Nutzern hilft, ihre Geräte zu diagnostizieren.

Schwachstelle ermöglicht verdecktes Bait & Switch

Die Schwachstelle, die am Forschungszentrum von Palo Alto Networks „Unit 42“ von Forscher Xu Zhi entdeckt wurde, nutzt eine Schwachstelle im Android-Systemdienst „PackageInstaller“. Sie ermöglicht es Angreifern, heimlich unbegrenzte Berechtigungen in kompromittierten Geräten zu erlangen. Im Einzelnen sind dies:

·         Während der Installation zeigen Android-Anwendungen die erforderlichen Berechtigungen auf, damit ihre Funktion ausgeführt werden darf. Beispielsweise erfordert eine Messaging-Anwendung Zugriff auf SMS-Nachrichten, aber nicht auf die GPS-Position.

·         Diese Sicherheitslücke ermöglicht es Angreifern, Benutzer durch die Anzeige einer gefälschten, eingeschränkten Auswahl von Berechtigungen zu betrügen, während sie vollen Zugriff auf die Dienste und Daten auf dem Gerät des Benutzers, einschließlich persönlicher Daten und Passwörter, erlangen kann.

·         Während die Nutzer glauben, dass sie eine Taschenlampen-App oder ein Spiel, mit einer begrenzten Gruppe von Berechtigungen installieren, haben sie tatsächlich bereits potenziell gefährliche Malware auf ihrem Gerät.

Unit 42, das Bedrohungsanalyse-Team von Palo Alto Networks, hat mit Google und Android sowie Geräteherstellern wie Samsung und Amazon zusammengearbeitet, um Benutzern helfen, sich zu schützen und diese Sicherheitsanfälligkeit in den betroffenen Versionen von Android durch Patches zu beheben. Einige ältere-Version Android-Geräte können anfällig bleiben.

„Diese Android-Sicherheitslücke bedeutet, dass Benutzer, die denken, dass sie auf legitime Anwendungen mit zugelassenen Berechtigungen zugreifen, stattdessen Datendiebstahl und Malware ausgesetzt sind. Wir raten den Benutzern, dazu die Vorteile der diagnostischen Anwendung von Palo Alto Networks zu nutzen, um ihre Geräte zu überprüfen. Wir bedanken uns bei Google, Samsung und Amazon für die gute Zusammenarbeit“, erklärte Ryan Olson, Intelligence Director bei Unit 42, Palo Alto Networks.

Schutzmaßnahmen

Die heute gemeldete Sicherheitsanfälligkeit betrifft Android-Anwendungen, die von Drittanbieterquellen heruntergeladen werden und hat keinen Einfluss auf Anwendungen, die von Google Play angeboten werden. Palo Alto Networks empfiehlt Unternehmen, die besorgt über die Gefahr durch Malware auf Android-Geräten sind, die folgenden Maßnahmen:

·         Auf potenziell anfällige Geräte nur Software-Anwendungen von Google installieren; Diese Dateien werden in einen geschützten Raum, der nicht durch den Angreifer überschrieben werden kann, heruntergeladen.

·         Mobile Geräte mit Android 4.3_r0.9 und späteren Versionen einsetzen, wobei bei einigen Android-4.3-Geräten ebenfalls diese Sicherheitsanfälligkeit festgestellt wurde.

·         Keine Apps mit der Berechtigung, auf Logcat zuzugreifen, nutzen. Logcat ist ein Systemprotokoll, das verwendet werden kann, um die Ausnutzung der Schwachstelle zu vereinfachen und automatisieren. Android 4.1 und spätere Versionen von Android-Anwendungen verbieten standardmäßig den Zugriff auf Logcat im System und anderen installierten Apps. Aber eine installierte App könnte es immer noch schaffen, den Zugang zu Logcat auf anderen Apps auf gerooteten mobilen Geräten mit Android 4.1 oder späteren Versionen zu erhalten.

·         Unternehmensanwendern nicht gestatten, gerootete Geräte in Unternehmensnetzwerken zu verwenden.