Menü

Android Beam erlaubt Einschleusen fremder Apps

Über NFC könnten fast unbemerkt gefährliche Apps auf Android-Geräte gelangen. Betroffen sind Android 8, 9 und 10. Es gibt Abhilfe.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 157 Beiträge

Ein gehacktes Bezahterminal könnte eine schädliche App auf viele Android-Handys übertragen. Das Bild zeigt ein Symbolfoto.

(Bild: Marco Verch CC BY 2.0 (bearbeitet von Daniel AJ Sokolov))

Von

Die App Android Beam, die auf vielen Android-Geräten von Haus aus installiert ist, kann Einfallstor für gefährliche Apps sein. Android Beam erlaubt Übertragung und Empfang von Daten mittels Nahfunkverfahren NFC. Dabei können auch Installationsdateien für Apps empfangen werden. Irrtümlicherweise darf bei Android 8, 9 und 10 die Android-Beam-App andere Apps aus unbekannten Quellen installieren. Die übliche Warnung unterbleibt.

Das könnte dazu führen, dass Nutzer nach dem Empfang einer Datei über Android Beam durch einen einfachen Tap oder Klick eine schädliche App installieren, etwa weil sie sie für ein Update halten. Da die NFC-Reichweite sehr kurz ist, muss ein Angreifer bis auf einige Zentimeter an das Zielhandy herankommen, um die App senden zu können. Ein präpariertes Bezahlterminal ist ein plausibles Angriffsszenario. Wenngleich Deutsche eher nicht mit dem Handy zahlen wollen, liegt das anderswo im Trend.

Abhilfe schafft das Oktober-Update für Android. Leider hinken viele Endgerätehersteller Monate nach, wenn es um das Schließen von Sicherheitslücken geht. Bis das Oktober-Update eingespielt ist, sollten Nutzer auf Geräten mit Android 8, 9 oder 10 mit Android Beam entweder die NFC-Funktion abschalten oder Android Beam beziehungsweise dem "Nfc-Dienst" die Berechtigung entziehen, Apps aus unbekannten Quellen zu installieren. NFC komplett abzuschalten ist die einfachere Vorgehensweise, die Berechtigungen Android Beams zu korrigieren die elegantere; sie bringt auch weniger Funktionseinschränkungen mit sich.

Entdeckt hat das Problem der Sicherheitsforscher Yakov Shafranovich. Er hat es Google am 30. 01. 2019 gemeldet und dafür in der Folge auch eine Belohnung im Rahmen des Android-Bounty-Programms erhalten. Google stuft die Sicherheitsgefahr des Bugs CVE-2019-2114 als "hoch" ein. Dennoch hat der Konzern bis zum Oktober-Update Androids gebraucht, einen Patch anzubieten. (ds)