Sicherheitsforscher von Check Point entdeckten viele ungeschützte Anwendungen. Einige davon, darunter sehr beliebte, wie Booking.com oder Microsoft Edge Browser, weisen derzeit noch Schwachstellen auf. Hacker können diese als Hintertür missbrauchen, um Smartphones zu infiltrieren.
San Carlos, Kalifornien – 22. Dezember 2020 – Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, schicken eine Warnung an alle Besitzer eines Android-Smartphones: Im Google Play Store befinden sich elf Apps, die über eine gefährliche Schwachstelle verfügen – registriert als CVE-2020-8913 – welche als Hintertür ausgenutzt werden kann. Zu den Apps zählen auch in Deutschland beliebte Anwendungen, wie die des Reiseveranstalters Booking, die Konferenz-Anwendung Cisco Teams, der Microsoft-Web-Browser Edge und die bekannten Dating-Apps OKCupid und Bumble. Booking veröffentlichte bereits eine neue Version, die dringend heruntergeladen werden sollte. Die anderen Anbieter wurden von Check Point ebenfalls informiert.
Hacker können über die Schwachstelle einen Schad-Code ausführen und damit die volle Kontrolle über die jeweilige App übernehmen – wodurch sie auch deren Berechtigungen und Zugriffe auf das Smartphone erhalten. Auf diese Weise lassen sich personenbezogene Daten auslesen und stehlen – auch von anderen Anwendungen – darunter Zugangsdaten, Kennwörter, Finanzinformationen oder E-Mail-Informationen. Die Infektion des Smartphones läuft dabei folgendermaßen ab: Nutzer installieren unwissentlich eine verseuchte App. Diese wiederum schickt den Schad-Code an eine anfällige, installierte App. Die dort installierte, alte Play Core Library führt die Payload aus und aktiviert damit den Angriff selbst. Nun kann die Payload die volle Kontrolle der App übernehmen.
Abbildung: Infographik zeigt den einfachen Angriffsweg.
Die Schwachstelle geht auf einen Fehler in Googles Play Core Library zurück, über welche die Entwickler einer Anwendung ihre Aktualisierungen und neue Funktionen einspielen können. Google selbst behob den Fehler zwar bereits am 6. April 2020 und vergab die Priorität 8,8 von 10 Punkten, doch die Entwickler müssen ihre Applikationen ebenfalls mit einem Update versorgen, um die Lücke zu schließen. Die Sicherheitsforscher von Check Point untersuchten daher einige sehr beliebte und verbreitete Apps, um deren Status zu prüfen. Das Ergebnis lautet, dass im September insgesamt 13 Prozent aller Applikationen im Play Store die Play Core Library nutzen und 8 Prozent davon noch anfällig für die Schwachstelle waren. Aufgrund des ständigen Zuwachs und der Abgänge aus dem Katalog des Google Play Stores ist es zwar nicht möglich, durchgängig eine genaue Anzahl der Applikationen zu nennen, die betroffen sind. Stand 30. Oktober aber wären das bei 2 560 000 Apps im Store also 332 800 Apps (13 Prozent), welche die Library eingebaut haben, und 26 624 anfällige Apps (8 Prozent). Weiterhin gefährdete prominente Apps sind: Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector, Booking und Viber.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – Check Point Software Technologies GmbH, führt zur Forschung aus: „Wir schätzen, dass mehrere Hundertmillionen von Android-Benutzern einer Bedrohung ausgesetzt sind. Obwohl Google einen Patch implementiert hat, um den Fehler zu beheben, verwenden einige Anwendungen noch veraltete Play Core-Bibliotheken. Die Sicherheitslücke CVE-2020-8913 aber ist äußerst gefährlich, denn sie kann andere Apps völlig übernehmen und sensible Daten stehlen. Unter anderem könnte ein Hacker auf diese Weise die Codes einer Zwei-Faktor-Authentifizierung stehlen oder Schad-Code in Bankanwendungen injizieren, um derartige Zugangsdaten zu erlangen. Außerdem könnte ein Angreifer schädlichen Code in Social-Media-Anwendungen schleusen, um Anwender auszuspionieren oder in Nachrichtendienste, um alle Nachrichten abzurufen. Die Möglichkeiten eines Angriffs sind lediglich durch die Vorstellungskraft der Cyber-Kriminellen begrenzt. Es ist daher unerlässlich – besonders auf Endgeräten mit Unternehmensdaten – qualifizierte Sicherheitslösungen zu installieren, die solche Angriffe im Keim ersticken.“
Anhand einer alten, noch anfälligen Version von Google Chrome demonstrieren die Sicherheitsforscher außerdem den Angriff und zeigen das in einem Video. Der Browser ist mittlerweile aber sicher. Ihr Ziel war es, eine Payload zu entwickeln, welche die Lesezeichen stiehlt. Im Video zeigen die Experten, wie ein Hacker die Cookies stehlen könnte, um über eine Drittanbieter-Anwendung, wie Dropbox, den Browser zu knacken. Wenn erfolgreich, erhält die Payload die selben Berechtigungen und Zugriffe auf dem Smartphone, wie die Browser-App und kann daher Cookies, den Verlauf von Chrome oder den Passwort-Manager auslesen. Google wurde kontaktiert und ließ verlauten: „Die betroffene Schwachstelle, CVE-2020-8913, existiert nicht in aktualisierten Play-Core-Versionen.“
