Aktuelles, Branche - geschrieben von cp am Dienstag, März 25, 2014 1:25 - ein Kommentar
10.000 Android-Apps für Berechtigungsmißbrauch anfällig
Bösartige Anwendungen können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern
[datensicherheit.de, 25.03.2014] Trend Micro hat ein schwerwiegendes Problem bei anwendungsspezifischen Berechtigungen von Android-Apps entdeckt. Bösartige Apps können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern, ohne dass der Anwender den Betrug bemerkt. Das Unternehmen hat Google bereits über diese Bedrohung für die Privatsphäre informiert. Nahezu 10.000 Apps sind potenziell davon betroffen, darunter eine beliebte Online-Einkaufsplattform sowie diverse soziale Medien.
Android bietet Apps die Möglichkeit, über die Standardberechtigungen hinaus eigene Rechte einzufordern und diese vom Anwender bestätigen zu lassen. Um dabei Mißbrauch vorzubeugen, gewährt Android diese App-spezifischen Berechtigungen auf Basis der beiden Sicherheitsniveaus „signature“ und „signatureORSystem“. Diese beiden Niveaus wurden wohl mit dem Ziel konzipiert, dass nur Systemanwendungen oder Anwendungen mit ein und derselben Signatur auf die damit definierten Berechtigungen zugreifen können. Da Android jedoch bei der Rechteüberwachung nur nach dem Namen der App-spezifischen Berechtigungen fragt und sich eine einmal definierte Berechtigung im Nachhinein nicht mehr ändern lässt, können auch bösartige Apps anstelle der legitimen diese Spezialrechte einfordern. Allerdings müssen diese bösartigen Apps zeitlich vor den legitimen Anwendungen installiert werden. Freilich nutzt dann auch die legitime App die Berechtigungen, aber eben nicht allein. Die Online-Gangster und -Spione können somit dieselben Daten mitlesen wie die legitimen Apps.
„Dies stellt ein ernstes Sicherheitsproblem dar. Denn wir sprechen hier von rund 10.000 potenziell betroffenen Apps. Darunter befinden sich leider auch Anwendungen, die millionenfach und weltweit für Einkäufe oder den Austausch persönlicher Informationen genutzt werden“, warnt Sicherheitsexperte Udo Schneider, Pressesprecher von Trend Micro. „Um das Infektionsrisiko mit bösartigen Apps möglichst niedrig zu halten, sollten Anwender nur Applikationen aus vertrauenswürdigen Appstores installieren, eine Android-Sicherheitssoftware installiert haben und die eingeforderten Rechte bei der Installation einer App genau prüfen.“
Weitere Informationen zunm Thema:
blog.trendmicro.de
Androids Apps-eigene Berechtigungen lassen Datenabfluss zu
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Okt 18, 2021 19:29 - noch keine Kommentare
BKA-Warnung vor Fake-Anrufen – angeblich im Namen des Bundeskriminalamts
weitere Beiträge in Experten
- Deutschlands staatliche Cyber-Sicherheitsarchitektur in neuer Auflage
- it-sa 2021 eröffnet: Wiedersehen der IT-Sicherheitsbranche in Nürnberg
- Privacy-Talk mit Edward Snowden und Max Schrems am 26. Oktober 2021
- it-sa 2021: Special Keynote von Chris Boos
- Bitkom kommentiert Ausfall von Facebook, Whatsapp und Instagram
Aktuelles, Branche - Okt 18, 2021 19:39 - noch keine Kommentare
PSW GROUP: Mahnung zur Einhaltung der DSGVO
weitere Beiträge in Branche
- Absolute Software: Endpoint Risk Report 2021 erschienen
- Kaspersky entdeckt MysterySnail: Zero Day Exploit für Windows OS
- Studie zur Vielzahl von Security-Lösungen: Ein Drittel deutscher SOCs überfordert
- it-sa 2021 eröffnet: Wiedersehen der IT-Sicherheitsbranche in Nürnberg
- Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren