Menü
Security

Wormhole-Schwachstelle: Backdoor in über 14.000 Android-Apps

Das Moplus SDK hält in zahlreichen Apps eine Hintertür für Angreifer auf, sodass diese etwa heimlich Dateien von Android-Gerät abziehen und SMS-Nachrichten versenden können.

Von
vorlesen Drucken Kommentare lesen 76 Beiträge
Android-Handys

(Bild: dpa, Britta Pedersen)

100 Millionen Android-Geräte sind von der Wormhole-Schwachstelle im Moplus SDK des chinesischen Suchmaschinenanbieters Baidu bedroht, warnt Trend Micro. Das SDK soll eine Backdoor aufweisen und in mehr als 14.000 Apps zum Einsatz kommen. Angreifer können Geräte so fernsteuern. Sicherheitsforscher der chinesischen Plattform wooyun.og haben die Schwachstelle entdeckt.

Trend Micro zufolge können Apps, die auf das Moplus SDK setzen, auf Befehl Dateien von Android-Geräten abziehen, heimlich beliebige Apps auf gerooteten Geräten installieren, Phishing-Webseiten aufrufen, SMS-Nachrichten versenden und willkürlich Kontakte erstellen. Dafür muss das Gerät lediglich mit dem Internet verbunden sein.

Trend Micro hat über die Wormhole-Schwachstelle einen Kontakt aus der Ferne auf einem Nexus 6 mit Android 6 angelegt.

(Bild: Trend Micro )

Einem Auszug aus einer Liste von Trend Micro zufolge sind nur chinesische Apps betroffen. Davon sind einige auch in Google Play zu finden. Ob das SDK bei Apps aus dem deutschen Raum zum Einsatz kommt, ist nicht bekannt.

Um die Hintertür für Angreifer zu öffnen, startet die mit dem SDK erstellte App einen lokalen HTTP-Server auf dem Android-Gerät, erläutern die Sicherheitsforscher von Trend Micro. Über einen TCP-Port sollen Angreifer in der Lage sein, Befehle an das Gerät zu senden. Dabei modifiziere der Open-Source-HTTP-Server NanoHttpd HTTP-Anfragen, damit das Gerät die Aufgaben der Angreifer ausführt.

Da der lokale HTTP-Server keine Authentifizierung voraussetzt, könne jedermann derartige Übergriffe ausführen. Angreifer müssen dazu lediglich ihre Umgebung nach Android-Geräten mit offenem TCP-Port scannen, erklären die Kryptologen. Trend Micro hat über die Wormhole-Schwachstelle eigenen Angaben zufolge erfolgreich ein Nexus 6 mit Android 6.0 attackiert.

Mittlerweile hat Baidu Schadcode aus dem Moplus SDK entfernt, berichten die Sicherheitsforscher. So soll unter anderem der Code zum heimlichen Installieren von Apps entfernt worden sein. Der lokale HTTP-Server mit offenem TCP-Port soll aber weiterhin laufen. (des)