Über die Hälfte der Android-Geräte anfällig für Fernsteuerungsfehler durch gefälschte Nachahmer-App

Dies scheint ein schlechter Monat für Google und insbesondere für das Android-Sicherheitsteam zu sein, denn seit Beginn des Monats wurden schwerwiegende Sicherheitsanfälligkeiten im Android-Betriebssystem gemeldet. Zuerst war es die Stagefright-Sicherheitsanfälligkeit, die es Hackern ermöglichen konnte, Ihr Smartphone allein durch das Senden einer Multimedia-Nachricht zum Absturz zu bringen. Dann kam die Silent Attack-Sicherheitsanfälligkeit, die eine Erweiterung von Stagefright war und Hackern den Fernzugriff auf das Android-Smartphone ohne Zustimmung oder Wissen des Besitzers ermöglichte.

Jetzt hat das X-Force Application Security Research Team von IBM eine weitere kritische Sicherheitsanfälligkeit in Android-Smartphones und -Tablets entdeckt. Der Fehler, der Android OS Version 4.3 Jelly Bean bis Android 5.1 Lollipop und auch die neueste Android M Preview 1-Version betrifft, ermöglicht es Hackern, ein gezieltes Gerät aus der Ferne zu steuern.

Da dieser Fehler alle Geräte betrifft, die von Jelly Bean und höher laufen, sind fast die Hälfte der weltweit aktiven Smartphones von diesem Bug betroffen. Die Sicherheitsanfälligkeit wurde als Android-Serialisierungsanfälligkeit bezeichnet und mit CVE-2015-3825 versehen.

Die Android-Serialisierungsanfälligkeit ermöglicht es einer bösartigen App ohne Berechtigungen, die vollständige Kontrolle über ein Gerät durch Remote-Code-Ausführung zu erlangen. Das bedeutet, dass Hacker dann eine legitime, vertrauenswürdige Anwendung durch eine nachgeahmte „Super App“ ersetzen können, um den Benutzer dazu zu bringen, persönliche Daten einzugeben.

Or Peles vom X-Force Application Security Research Team von IBM erklärte in einem Blogbeitrag, dass der Fehler bisher nicht in der Wildnis ausgenutzt wurde, behauptete jedoch, dass „mit dem richtigen Fokus und den richtigen Werkzeugen bösartige Apps in der Lage sind, selbst die sicherheitsbewusstesten Benutzer zu umgehen.“

„Der PoC-Exploit, den wir erstellt haben, greift den hochprivilegierten system_server-Prozess an. Das Ausnutzen von system_server ermöglicht eine Privilegieneskalation zum Systembenutzer mit einem recht lockeren SELinux-Profil (aufgrund der vielen Verantwortlichkeiten von system_server), was es dem Angreifer ermöglicht, großen Schaden anzurichten. Zum Beispiel kann ein Angreifer jede Anwendung auf dem Gerät des Opfers übernehmen, indem er das Android-Anwendungs-Paket (APK) der Ziel-App ersetzt. Dies kann es dem Angreifer dann ermöglichen, im Namen des Opfers Aktionen durchzuführen. Darüber hinaus konnten wir Shell-Befehle ausführen, um Daten aus allen auf dem Gerät installierten Anwendungen zu exfiltrieren, indem wir die Android Keychain-App ausnutzten. Wir konnten auch die SELinux-Richtlinie ändern und auf einigen Geräten auch bösartige Kernel-Module laden.“

Sobald die Malware ausgeführt wird, ersetzt sie eine echte App durch eine gefälschte, was es dem Angreifer ermöglicht, entweder sensible Informationen aus der App zu stehlen oder einen überzeugenden Phishing-Angriff zu starten.

Peles behauptete, sein Team habe auch Sicherheitsanfälligkeiten in mehreren Drittanbieter-Android-SDKs gefunden, die die Ausführung beliebigen Codes ermöglichen könnten, was Angreifern ermöglichen könnte, sensible Informationen aus den betroffenen Apps zu stehlen.

„Die entdeckten Sicherheitsanfälligkeiten sind das Ergebnis der Fähigkeit des Angreifers, Zeigerwerte während der Objekt-Deserialisierung im Speicher beliebiger Apps zu steuern, die dann von dem nativen App-Code verwendet werden, der vom Garbage Collector (GC) zur Laufzeit aufgerufen wird“, fügte er hinzu. Entwickler nutzen Klassen innerhalb der Android-Plattform und SDKs. Diese Klassen bieten Funktionalität für Apps – zum Beispiel den Zugriff auf das Netzwerk oder die Kamera des Telefons.“ „Die Sicherheitsanfälligkeit, die wir gefunden haben, kann von Malware über den Kommunikationskanal ausgenutzt werden, der zwischen Apps oder Diensten stattfindet. Während die Informationen zerlegt und wieder zusammengesetzt werden, wird bösartiger Code in diesen Stream eingefügt, nutzt die Sicherheitsanfälligkeit am anderen Ende aus und übernimmt dann das Gerät.“

Das X-Force-Forschungsteam hat Google benachrichtigt, das bereits einen Patch für den Fehler veröffentlicht hat. Die X-Force-Forschung ist hier zu finden.