Palo Alto Networks warnt mit seinem Malware-Forschungsteam “Unit 42” vor einer Schwachstelle bei Android. Alle Versionen sind betroffen, außer Android 8.0 Oreo, da dieses schon den aktuellen Sicherheitspatch von September 2017 enthält. Aktuelle Security Updates von September 2017 sollen also unbedingt genutzt werden.
Overlay Angriffe (die Angreifer-App überlagert andere Fenster oder Apps welche auf dem Gerät laufen) sind ein bekanntes Problem bei Android. Cyberkriminelle versuchen dabei Malware einzuschleusen, um die Kontrolle über das Smartphone zu erlangen. Ist der Angreifer erfolgreich, kann er den Benutzer dazu bringen, dass er auf ein bestimmtes Fenster klickt und eine vom Angreifer erwünschte Aktion auslöst. Beim rechtmäßigen Nutzer erscheint dann zum Beispiel ein Fenster, um einen Patch zu installieren. Tippt der Nutzer das Fenster an, gewährt er unwissentlich der Malware vollständige Admin-Berechtigungen auf dem Gerät.
Bisher dachte man, dass für einen Overlay-Angriff zwei signifikante Hürden überwunden werden müssen:
- 1. explizit die “Draw on top”-Berechtigung vom Nutzer bei der Installation anfordern
- 2. von Google Play installiert werden
Unit 42 zeigt nun dass es noch eine weitere Möglichkeit gibt, einen Overlay-Angriff auszuführen, unabhängig von den oben genannten Faktoren:
Die erwähnte Schwachstelle betrifft die Android-Funktion “Toast”. Toast ist eine Art Benachrichtigungsfenster, welches plötzlich – wie eine aus dem Toaster herausspringende Scheibe Toast – auf dem Display erscheint. Ein Toast zeigt Nachrichten und Benachrichtigungen über anderen Apps an, benötigt aber nicht die gleichen Berechtigungen wie andere Fenstertypen.
Nutzt nun eine bösartige App die Schwachstelle aus, könnte ein Overlay-Angriff durchgeführt werden, indem die erforderliche Malware einfach auf dem Gerät installiert wird. Das heißt, Apps von Webseiten und App-Stores außerhalb des Play Store können durchaus Overlay-Angriffe ausführen. Zweifelhafte App-Stores stellen weltweit eine bedeutende Quelle für Android-Malware dar.
Für alle Nutzer gilt darum: Apps am Besten nur aus dem Play Store installieren und Security-Updates aufspielen.
Also ist die effektive Schwachstelle der Benutzer, der Software aus nicht vertrauenswürdiger Quelle installiert? Diese Schwachstelle wird eher nicht mit einem Patch zu beheben sein.
Schön wäre auch gewesen, zu lesen, was Oreo hinsichtlich Toaster anders macht, das hier kein Problem existiert.
Die Sicherheitslücke, welche gefunden wurde, bzw. den Angriff ermöglicht, ist mit dem Sicherheits-Patch vom September 2017 geschlossen worden. Und dieser Patch ist bei Oreo schon vorhanden, deshalb sind Oreo-Nutzer safe. Ich habe es im Text noch einmal geändert. Danke für den Hinweis. Und ja, die Benutzerschwachstelle wird bleiben ;-) VG Sarah