Sicherheitsforscher der US-Universitäten Georgia Institute of Technology und der University of California haben eine Angriffsmethode entwickelt, mit der sich nahezu alle modernen Android-Geräte unbemerkt überwachen lassen. Die „Cloak and Dagger“ (Mantel und Degen) getaufte Methode erlaubt es Angreifern, Eingaben zu protokollieren, Passwörter abzufangen oder Apps mit beliebig vielen Rechten zu installieren.
Dazu machen sich die Angreifer zwei eigentlich harmlose App-Berechtigungen zunutze. Die Berechtigung „SYSTEM_ALERT_WINDOW“ (auch bekannt als „draw on top“) ermöglicht es Apps beispielsweise, eine unsichtbare Ebene über den Bildschirminhalt zu legen. Mit dieser vermeintlich harmlosen Berechtigung, die keine ausdrückliche Zustimmung des Nutzers erfordert, werden beispielsweise die „Chatheads“ des Facebook Messenger ermöglicht. Angreifer können damit aber auch eine unsichtbare Tastatur über die normale Tastatur legen und so die Eingaben überwachen. Über Tricks kann sich der Angreifer so auch weitere Rechte erschleichen.
Play Store infiltriert
Eine davon ist „BIND_ACCESSIBILITY_SERVICE“ alias „a11y“, die auch das Auslesen von Passwörtern, PINs sowie das Einschleusen von Werbung ermöglicht. In einer Demo-App erschlichen sich die Sicherheitsforscher zudem einen „God Mode“: Sie kombinierten die beiden Berechtigungen, um im Hintergrund eine schadhafte App mit allen Rechten zu installieren. Diese wurde mit einem vermeintlich harmlosen Namen getarnt, um eine Entdeckung zu verhindern. So waren diese in der Lage, das Smartphone vollständig zu kontrollieren und zu überwachen.
Laut den Sicherheitsforschern war es problemlos möglich, eine derartige App in den Play Store einzuschleusen. Obwohl die Funktion, die den Trojaner im Hintergrund herunterlädt, nicht versteckt wurde, veröffentlichte Google diese binnen weniger Stunden auf dem Play Store. Der US-Konzern gelobte mittlerweile Besserung und versprach, dass man derartige Apps genauer unter die Lupe nehmen wolle.
Echte Lösung erst mit Android O
Das Problem mit „Cloak and Dagger“: Es handelt sich nicht wirklich um einen Bug, den man per Sicherheitsupdate stopfen kann, sondern um einen Designfehler innerhalb des Betriebssystems. Deswegen stellte Google eine echte Lösung erst mit Android O in Aussicht, bei dem das nicht mehr möglich sein soll. Lediglich das Installieren des Trojaners sowie das Auslesen der Passwörter wurde unter Android 7.1.2 teilweise eingeschränkt.
Bis Android O veröffentlicht wird, muss man wohl mit der Installation von Apps unbekannter Herkunft vorsichtig sein. Die Sicherheitsforscher raten zudem, zu überprüfen, ob eine App die missbrauchten Berechtigungen nutzt.