Menü
Security

Rechte-Schmu bei Android

Vermeintlich harmlose Apps können unter Android die Verknüpfungen im Launcher beliebig manipulieren. So könnte hinter der Online-Banking-App zum Beispiel plötzlich ein Phishing-Angriff lauern.

Von
vorlesen Drucken Kommentare lesen 237 Beiträge

Unter Android können Apps die Launcher-Verknüpfungen anderer Apps manipulieren und beliebige neue anlegen, ohne dafür spezielle Rechte einzufordern. Ein vermeintlich harmloses Spiel könnte so etwa die Verknüpfung zur Home-Banking-App so manipulieren, dass bei der Aktivierung eine Phishing-Webseite (oder -App) geöffnet wird. Dies haben Sicherheitsforscher von FireEye herausgefunden.

Diese App fordert angeblich keine besonderen Berechtigungen an, kann aber dennoch Verknüpfungen manipulieren.

(Bild: FireEye)

Nach Angaben der Forscher muss eine App lediglich die Berechtigungen com.android.launcher.permission.READ_SETTINGS und WRITE_SETTINGS einfordern, um Verknüpfungen manipulieren zu können. Diese stuft Android nicht als besonders kritisch ein, weshalb der Nutzer bei der Installation solcher Apps auch nicht darauf hingewiesen wird. Anders sieht das jedoch bei der Berechtigung INSTALL_SHORTCUT aus, die eigentlich für das Anlegen von Verknüpfungen vorgesehen ist. Diese ist seit Android 4.2 "gefährlich", was bei der App-Installation auch angezeigt wird.

Eine Proof-of-Concept-App, die den Rechtemissbrauch demonstriert, konnten die Forscher problemlos an Googles Kontrollen vorbei in den Download-Katalog Play Store einstellen. Die Forscher haben das Unternehmen über das Sicherheitsproblem informiert, woraufhin Google einen Patch entwickelt und seinen OEM-Partnern zur Verfügung gestellt hat. Dass dieser jedoch in naher Zukunft eine große Verbreitung finden wird, ist unwahrscheinlich: Nur wenige Gerätehersteller versorgen ihre Kunden schnell mit aktuellen Android-Versionen. (rei)