Mit der Sicherheitslücke „Android Installer Hijacking“ ist es einer App möglich unbegrenzte Rechte zu erlangen.
Eine von Palo Alto Networks entdeckte Sicherheitslücke namens „Android Installer Hijacking“ ermöglicht das Austauschen von Apps auf Android-Geräten während der Installation.
Dies erfolgt ohne Wissen des Benutzers und benötigt keine weitere Bestätigung. Ein Dialog mit einer Liste aller Rechte wird nicht angezeigt und das macht diese Lücke so gefährlich, denn die Malware kann sich mit Hilfe dieser Lücke alle Rechte nehmen, die sie möchte/benötigt.
Neben dem Zugriff auf Bilder, Videos, dem Browser Verlauf und vielen mehr, kann sich eine Malware-App auch Rechte nehmen um Benutzernamen und Passwörter, sowie andere persönliche Daten aus zu lesen.
Achtung vor alternativen App-Markets
Wer bei Google-Play seine Apps installiert ist auf der sicheren Seite, denn diese Sicherheitslücke betrifft nur alternative Markets und manuell heruntergeladene .apk-Dateien.
Selbst bei seriösen App-Markets, wie zum Beispiel dem Amazon App-Store, kann ein solcher Angriff statt finden. Einzig sicher ist der Google-Play Store, da die Installation über eine getrennte App läuft (der normalen Google-Store App).
Nur Android 4.3 und älter betroffen
Betroffen sind nur Geräte mit Android 4.3 oder älter, wobei es bei 4.3 nur wenige betroffene Geräte sind. Dennoch sind laut Palo Alto Networks rund 49,5% aller Android-Geräte verwundbar, was diese Lücke so gefährlich macht.
Ist Ihr Gerät betroffen?
Um zu testen ob man selbst von der Sicherheitslücke betroffen ist, hat Palo Alto Networks eine App entwickelt, die auf diese Lücke testet. Sie befindet sich im sicheren Google-Play Store, ist natürlich kostenlos (sogar open-source, denn die App ist auf git-hub) und benötigt lediglich Rechte zum schreiben auf dem Dateisystem („Fotos/Medien/Dateien“ heißt der Punkt in der Liste).
Allgemein ist es zum testen ratsam das installieren von Drittanbieter Apps zu erlauben (passende Einstellung dazu unter „Einstellungen“ → „Apps verwalten“ → „Unbekannte Herkunft“ erlauben).
Bilder zum testen finden sich auch im Google-Play Store.
- Nach der Installation den „Installer Hijacking Sanner“ starten und „Step 1“ starten
- Es wird eine „Fun App“ angeboten, die man ebenfalls installieren muss
- „Step 2“ starten. Hier wird einem gesagt ob man betroffen ist
- „Step 3“ starten um die „Fun App“ wieder zu löschen.
Zum Schluss noch den „Installer Hijacking Scanner“ entfernen und das wars.
Sollte das installieren der „Fun App“ möglich sein und wurde ihnen gesagt, dass sie betroffen sind, sollten sie alternative App-Stores – seien sie noch so seriös – meiden.
Wie man die Lücke ausnutzen kann
Das ausnutzen dieser Sicherheitslücke läuft im Prinzip auf folgende Schritte hinaus:
- Der Benutzer installiert eine normale App (nennen wir sie „App A“), z.B. aus dem Google-Play Store
Diese App jedoch dient dazu einer anderen, von Drittanbietern installierten App Rechte zu geben und Malware ein zu schleusen - Eine zweite App (nennen wir sie „App B“) wird von einem alternativen Store installiert
- App A merkt nun, dass eine neue App installiert wird …
- … und schleust Malware in App B ein, während man die Liste an Rechten sieht.
- Der Benutzer tippt auf „Installieren“ und App B samt Malware wird mit beliebigen Rechten installiert.
Video
In diesem Video von Palo Alto Networks wird nochmal die Lücke beschrieben und die App vorgestellt.
Update vom 27.03.2015:
Neben Android sollen auch rotted-devices mit alternativen Distributionen, wie z.B. CyanogenMod, betroffen sein.