Drei Sicherheitsforscher von Promon haben ein Zero-Day-Leck in Android entdeckt. Die als
Strandhogg bezeichnete Schwachstelle ermöglicht es, Malware als legitime App zu erscheinen, sodass die Benutzer nicht bemerken, dass sie Ziel eines Angriffs sind. Gefährlich ist die Lücke auch deshalb, weil alle Versionen von Googles Betriebssystem ohne Ausnahme davon betroffen sind und die Sicherheitsforscher Hinweise darauf gefunden haben, dass sie bereits von 36 Apps aktiv ausgenutzt wird. Ausserdem seien die 500 populärsten Apps im
Google Play Store gefährdet und könnten von Strandhogg ausgenutzt werden. Die Angreifer brauchen dafür nicht einmal Root-Rechte.
Ist eine mit Strandhogg infizierte App erst einmal auf dem Smartphone installiert, können die Angreifer die Rechte für etliche Aktionen anfordern und die Nutzer über das Mikrofon belauschen, mit der Kamera Fotos schiessen, SMS lesen und verschicken, Anrufe tätigen oder aufnehmen, auf Fotos und Dateien zugreifen sowie Logins, GPS-Daten, Kontakte und nicht zuletzt die Logs des Smartphones auslesen.
Strandhogg nutzt laut den Sicherheitsforschern von Promon eine Schwachstelle im Multitasking-System von Android, um die Angriffe zu starten, die es Schadsoftware ermöglichen, sich im Gewand einer legitimen Anwendung auf dem Gerät zu verstecken. Die Zero-Day-Lücke basiert auf einer Android-Steuereinstellung namens Taskaffinity, die es jeder App - auch bösartigen - ermöglicht, jede Identität in dem von ihr befallenen Multitasking-System anzunehmen.
Verschiedene Aspekte der Sicherheitslücke wurden laut Promon
bereits 2015 entdeckt,
Google habe damals aber die Schwere der Schwachstelle in Abrede gestellt. Die Sicherheitsforscher hätten aber konkrete Beweise dafür, dass Hacker Strandhogg aktiv ausnutzen, um Zugang zu Geräten und Apps zu erhalten.
(luc)