Aktuelles, Branche - geschrieben von cp am Dienstag, März 25, 2014 1:25 - noch keine Kommentare
10.000 Android-Apps für Berechtigungsmißbrauch anfällig
Bösartige Anwendungen können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern
[datensicherheit.de, 25.03.2014] Trend Micro hat ein schwerwiegendes Problem bei anwendungsspezifischen Berechtigungen von Android-Apps entdeckt. Bösartige Apps können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern, ohne dass der Anwender den Betrug bemerkt. Das Unternehmen hat Google bereits über diese Bedrohung für die Privatsphäre informiert. Nahezu 10.000 Apps sind potenziell davon betroffen, darunter eine beliebte Online-Einkaufsplattform sowie diverse soziale Medien.
Android bietet Apps die Möglichkeit, über die Standardberechtigungen hinaus eigene Rechte einzufordern und diese vom Anwender bestätigen zu lassen. Um dabei Mißbrauch vorzubeugen, gewährt Android diese App-spezifischen Berechtigungen auf Basis der beiden Sicherheitsniveaus „signature“ und „signatureORSystem“. Diese beiden Niveaus wurden wohl mit dem Ziel konzipiert, dass nur Systemanwendungen oder Anwendungen mit ein und derselben Signatur auf die damit definierten Berechtigungen zugreifen können. Da Android jedoch bei der Rechteüberwachung nur nach dem Namen der App-spezifischen Berechtigungen fragt und sich eine einmal definierte Berechtigung im Nachhinein nicht mehr ändern lässt, können auch bösartige Apps anstelle der legitimen diese Spezialrechte einfordern. Allerdings müssen diese bösartigen Apps zeitlich vor den legitimen Anwendungen installiert werden. Freilich nutzt dann auch die legitime App die Berechtigungen, aber eben nicht allein. Die Online-Gangster und -Spione können somit dieselben Daten mitlesen wie die legitimen Apps.
„Dies stellt ein ernstes Sicherheitsproblem dar. Denn wir sprechen hier von rund 10.000 potenziell betroffenen Apps. Darunter befinden sich leider auch Anwendungen, die millionenfach und weltweit für Einkäufe oder den Austausch persönlicher Informationen genutzt werden“, warnt Sicherheitsexperte Udo Schneider, Pressesprecher von Trend Micro. „Um das Infektionsrisiko mit bösartigen Apps möglichst niedrig zu halten, sollten Anwender nur Applikationen aus vertrauenswürdigen Appstores installieren, eine Android-Sicherheitssoftware installiert haben und die eingeforderten Rechte bei der Installation einer App genau prüfen.“
Weitere Informationen zunm Thema:
blog.trendmicro.de
Androids Apps-eigene Berechtigungen lassen Datenabfluss zu
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren