IBM entdeckt Super-App-Lücke in Android
ID: 1249124
Hacker können mittels Fake-Apps Kontrolle über Gerätefunktionen, Software und persönliche Informationen erlangen / mehr als jedes zweite Android-Handy in den Versionen 4.3 bis 5.1 und Android M betroffen
"Nachrichten über schwere Sicherheitslücken im Mobile-Umfeld halten uns alle weiter in Atem", sagt Gerd Rademann, Business Unit Executive Security Systems DACH bei IBM. "Nach den Meldungen über Certifi-Gate und Stagefright haben auch unsere Sicherheitsexperten von IBM X-Force eine gravierende Lücke in Android entdeckt, durch die Cyberkriminelle Smartphones kapern und private Daten stehlen können."
Wolf im Schafspelz
Die Sicherheitsforscher Or Peles und Roee Hay von IBM X-Force warnen davor, dass mehr als jedes zweite Android-Handy angreifbar ist. Konkret sind das die Betriebssystemversionen 4.3 bis 5.1 und Android M. Hacker können für den Angriff eine scheinbare Spiele- oder Taschenlampen-App nutzen, die zunächst keine besonderen Zugriffsrechte vom Anwender fordert. Dadurch erscheint sie harmlos. Installiert ein Nutzer sie, verschafft sich die Applikation durch eine Lücke im Zertifikatsystem von Android heimlich erweiterte Rechte und wird so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliert anschließend den Android-Kernel, ersetzt Anwendungen auf dem Smartphone und führt Shell-Befehle aus, um private Daten zu stehlen. In einem Video zeigen die Sicherheitsforscher der IBM X-Force, wie sie mittels der Lücke die Facebook-App auf einem Android-Gerät ersetzten.
Vertrauliche Informationen sind Freiwild
Die Lücke wurde innerhalb Androids OpenSSL-X.509-Zertfikatklasse gefunden, welche Entwickler beispielsweise nutzen, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren. Falls Hacker diesen Kommunikationskanal zwischen einer Applikation und der Hardware erfolgreich angreifen, können sie die Geräte wie ihre Besitzer steuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden. Darüber hinaus können sie reale Apps durch eigene Fake-Apps ersetzen, die zum Beispiel Informationen über den Nutzer aus Facebook oder Twitter sammeln. Auch vertrauliche Informationen, wie Zugangsdaten zum Onlinebanking, geraten so leicht in die Hände von Cyberkriminellen.
Detaillierte Informationen zur Super-App-Lücke haben die IBM Sicherheitsforscher auf dem Security Intelligence Blog (https://securityintelligence.com/one-class-to-rule-them-all-new-android-serialization-vulnerability-gives-underprivileged-apps-super-status/#.VckECvlViko) veröffentlicht. Außerdem hat Google bereits Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M bereitgestellt.
Über IBM Security:
Mehr Informationen auf www.ibm.com/security, @IBMSecurity auf Twitter
Mehr Informationen finden Sie unter http://www.ibm.com/de
Unternehmensinformation / Kurzprofil:
Mehr Informationen finden Sie unter http://www.ibm.com/de
Datum: 12.08.2015 - 09:25 Uhr
Sprache: Deutsch
News-ID 1249124
Anzahl Zeichen: 3582
Kontakt-Informationen:
Stadt:
Ehningen
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 408 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"IBM entdeckt Super-App-Lücke in Android"
steht unter der journalistisch-redaktionellen Verantwortung von
IBM Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Erinnern Sie sich an die Geschichte von Willy Wonka und dem goldenen Ticket? Eine seltene und wertvolle Chance, die nur wenigen Glücklichen die Tür zu einer Welt voller Wunder und Möglichkeiten öffnete. IBM verlost unter teilnehmenden Unternehmen fünf dieser goldenen Tickets – für einen exkl
COMMON-Konferenz für mittelständische IT-Anwender in Schweinfurt am 13. und 14. November 2018 ...
Die COMMON-Benutzervereinigung für mittelständische IT-Anwender macht auf den kommenden Konferenztermin am 13. und 14. November in Schweinfurt unter dem Motto ?Neues Lernen. Erfahrungen teilen. Netzwerken.? aufmerksam. Der Kongress dient als Wegweiser insbesondere für Mittelständler in der Thema
Universität der Bundeswehr München und IBM starten IBM Q Hub ...
Die Universität der Bundeswehr München und IBM unterzeichneten heute einen Kooperationsvertrag zur Gründung eines IBM Q Hubs in München - dem ersten Hub in Deutschland und zweiten in Europa. Dieser neue, am Forschungsinstitute Cyber Defence CODE der Hochschule angesiedelte "Knotenpunkt"
Weitere Mitteilungen von IBM Deutschland GmbH
Serie SAB 2600 von SKS Hirschmann Test&Measurement - 4 mm Sicherheits-Aufbaubuchsen für geringe Einbautiefen ...
Die SAB Sicherheits-Aufbaubuchsen der Serie 2600 von SKS mit einem Innendurchmesser von 4 mm, bieten mit ihren vielfältigen Farb- und Anschlussvarianten überall dort hervorragende Anwendungsmöglichkeiten, wo eine geringe Einbautiefe in Gehäusen und Frontplatten benötigt wird. Sie können als A
Draco tera KVM-Switche unterstützen seismische Untersuchungen auf den Ramform-Titanglas-Schiffen von PGS ...
PGS (Petroleum Geo-Services) ist eines der weltweit führenden Öl- und Gasexplorationsunternehmen zur Entdeckung von Gas- und Erdölfeldern, darunter Erfassung und Analyse von Daten des Meeresuntergrunds. Ihre Erkundungsschiffe können sich bis zu 150 Tage am Stück auf See befinden und si
Supermicro® zeigt auf der SIGGRAPH 2015 1U 4x GPU SuperServer® und 3U/6U MicroBlade für 3D-Grafik, Video und Visualisierungswendungen ...
Super Micro Computer, Inc. , in den Bereichen hochleistungsfähige und hocheffiziente Server- und Speichertechnologie sowie Green Computing weltweit führend, zeigt seine neuen HD 1U 4x GPU SuperServer (SYS-1028GQ-TR [http://www.super micro.com/products/system/1u/1028/sys-1028gq-tr.cfm]/-TRT [http
Multi-Touch Monitor mit IP66 Front ! ...
- 19? Multi-Touch-Screen, 5:4 Format - weiter Temperaturbereich - Metall-Gehäuse IP66 front-, IP22 rückseitig - VGA I/O, Composite Video I/O, DVI-D - USB, COM, LAN, Buzzer, Lichtsensor - isolierte Stromversorgung 18-36VDC & 240 VAC - remote OSD,
