Ein XFO (X-Frame-Options) Fehler im Android Play Store ermöglicht Remote-Code-Ausführung

Eine Schwachstelle in der Google Play Store-App macht Android-Nutzer anfällig für Malware.

Der XFO, auch bekannt als der X-Frame-Options-Fehler, schafft in Kombination mit einem aktuellen Android WebView (Jelly Bean) Fehler eine Möglichkeit für Hacker, heimlich jede App aus dem Google Play Store zu installieren.

Joe Vennix von Rapid7 identifizierte die Play Store XFO-Schwachstelle, und die Firma Metasploit machte das Problem am Dienstag mit der Veröffentlichung eines Hinweises öffentlich, begleitet von einem Metasploit-Modul, das Unternehmenssicherheitsexperten hilft, unternehmenseigene Smartphones auf die Exposition gegenüber der XFO-Schwachstelle zu testen.

Der Engineering-Manager bei Rapid7, Tod Beardsley, erklärte, dass viele Geräte, die mit Installationen von Android 4.3 (Jelly Bean) und früher ausgeliefert werden, Browser mit UXSS [Universal Cross-site Scripting] Expositionen haben.

Beardsley erklärt,

„Nutzer dieser Plattformen haben möglicherweise auch anfällige Aftermarket-Browser installiert. Bis die Google Play Store XFO [X-Frame-Options] Lücke behoben ist, werden Nutzer dieser Webanwendungen, die habituel in ihr Google-Konto einloggen, weiterhin anfällig bleiben.“

Beardsley fährt fort und erklärt, dass die Remote-Code-Ausführung durch die Ausnutzung von zwei Schwachstellen auf betroffenen Android-Geräten erreicht wird. Er nennt weitere Details zum Metasploit-Modul,

„Zuerst nutzt das Modul eine Universal Cross-Site Scripting (UXSS) Schwachstelle aus, die in Versionen des offenen Quellcodes des Android-Standardbrowsers (dem AOSP-Browser) sowie in einigen anderen Browsern vor 4.4 (KitKat) vorhanden ist. Zweitens versäumt die Weboberfläche des Google Play Stores, einen X-Frame-Options: DENY Header auf einigen Fehlerseiten durchzusetzen, und kann daher für Skripteinschleusung angegriffen werden. Infolgedessen führt dies zur Remote-Code-Ausführung durch die Remote-Installationsfunktion von Google Play, da jede im Google Play Store verfügbare Anwendung auf dem Gerät des Nutzers installiert und gestartet werden kann.“

Das Verwenden eines Browsers wie Google Chrome oder Mozilla Firefox, die nicht anfällig für allgemein bekannte UXSS-Schwachstellen sind, und das Nicht-Login in den Google Play Store kann helfen, diese Schwachstelle zu mindern und zu vermeiden.