Curesec, eine Berliner Sicherheitsfirma, hat entdeckt, dass im Code der Telefonfunktionen bei Android ab Version 4.1 (Jelly Bean) eine Klasse namens NotificationBroadcast Receiver fälschlicherweise exportiert wird, obgleich genau dies laut einem Entwicklerkommentar nicht geschehen darf.

Laut Curesec können Apps diese Klasse ansprechen und beliebige Rufnummern wählen. Das Senden von USSD-Codes soll ebenfalls möglich sein. Zum Beispiel kann eine Malware-App darüber die SIM-Karte zerstören oder eine Rufumleitung einrichten. Bereits Ende 2013 wurde Google über das Problem von den Entdeckern der Lücke informiert und dies hat offenbar Früchte getragen: Die aktuelle Android-Version 4.4.4 ist laut Curesec nicht mehr anfällig.

Insbesondere seit der jüngsten Änderung ist das Rechtesystem von Android auch ohne Sicherheitslücken recht gutmütig. Das System zeigt seitdem bei der App-Installation nicht mehr alle, von der App eingeforderten, Rechte an. App-Entwickler können sich darüber hinaus durch Updates weitere Rechte erschleichen, solange diese aus der gleichen Kategorie wie bereits vom Nutzer genehmigte Rechte stammen. Den Beweis erbrachte ein reddit-Nutzer, der eine Demo-App in den Play Store stellte und dieses Szenario komplett durchspielte.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE