Cloak & Dagger
Unter dem Namen Cloak & Dagger beschreiben Forscher zwei Angriffe auf fast allen Android-Versionen, wie golem.de dazu ausführte. Damit ist es nicht nur möglich Tastatureingaben mitzulesen, sondern es können auch, vom Nutzer völlig unbemerkt Eingaben gemacht werden. Es sollen gängige Funktionen sein, auf deren Zugriff alle Apps die entsprechenden Rechte haben.
Eine haarsträubende Angelegenheit, auf die Google auch sofort reagiert hat. So verhindert Google zwischenzeitlich die Aufnahme von Apps in Googles Play Store, die diese Funktionen nutzen. In der bevorstehenden Version O von Android sollen die Schwachstellen behoben werden.
Unsichtbare Overlays
Wie es weiter dazu heißt, sind es die Rechte SYSTEM_ALERT_WINDOW - auch "draw on top", die es ermöglichen, dass die Apps unsichtbare Overlays über die Benutzeroberfläche legen und so etwa Warnmeldungen verstecken. Damit gelingt auch das Abfangen von Tastatureingaben, ohne dass der Nutzer das bemerkt. Angreifern ist es somit praktisch möglich, auch Passwort-Eingaben zu erfassen.
Noch Schlimmeres ist mit BIND_ACCESSIBILITY_SERVICE beziehungsweise auch "a11y"möglich, da es verdeckte Eingabe von Tastaturbefehlen ohne Zutun des Anwenders erlaubt. Damit ließen sich PINs auslesen aber auch bei ausgeschaltetem Bildschirm wieder eingeben. Angreifer wären damit auch in der Lage Tokens für die Zwei-Faktor-Authentifizierung abzufangen.
Im Duett noch gefährlicher
Die Forscher der Universität in UC Santa Barbara und Georgia Tech in den USA erläutern dazu, dass das gemeinsame Auftreten von "draw on top" und "a11y" den Missbrauch der Rechte noch gefährlicher machen.
Eine entsprechend programmierte App könnte sich so zunächst über SYSTEM_ALERT_WINDOW den Zugriff auf den BIND_ACCESSIBILITY_SERVICE verschaffen und anschließend wieder ohne Zutun des Anwenders weitere Rechte erlangen, etwa für die Installation einer weiteren App, die nochmals erhöhte Rechte bereitstellt. Sie hätten sich so Zugriff auf die gesamte Benutzeroberfläche verschafft.
Google Kommentar
Dem Online-Magazin The Register sagte ein Google-Sprecher, man habe die Richtlinien des Play Stores so geändert, dass Apps, die diese Sicherheitslücken missbrauchen, nicht mehr installiert werden können. Außerdem sei die nächste Android-Version O bereits gegen solche Angriffe gewappnet.
Weiterführende Links:
golem.de: Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
