Eine neue von MWR InfoSecurity entdeckte Android-Sicherheitslücke beschreibt, wie Apps Benutzer dazu verleiten können, ihre Bildschirme ohne ihr Wissen aufzuzeichnen.
Android ist auf Milliarden von Geräten weltweit installiert und jeden Tag werden neue Schwachstellen entdeckt. Nun ein Exploit entdeckt von MWR InfoSecurity beschreibt detailliert, wie Anwendungen in Android-Versionen zwischen 5.0 und 7.1 Benutzer dazu verleiten können, Bildschirminhalte ohne ihr Wissen aufzuzeichnen.
Es handelt sich um Androids Medienprojektion Framework, das mit 5.0 Lollipop eingeführt wurde und Entwicklern die Möglichkeit gab, den Bildschirm eines Geräts zu erfassen und Systemaudio aufzuzeichnen. In allen Android-Versionen vor 5.0 Lollipop mussten Screengrabbing-Anwendungen mit Root-Rechten ausgeführt werden oder mussten mit speziellen Rechten signiert werden Schlüssel, aber in neueren Versionen von Android benötigen Entwickler keine Root-Rechte, um den MediaProjection-Dienst zu verwenden, und sind nicht verpflichtet, ihn zu deklarieren Berechtigungen.
Normalerweise fordert eine Anwendung, die das MediaProjection-Framework verwendet, Zugriff auf den Dienst über an Absicht, das Android dem Benutzer als SystemUI-Popup präsentiert. MWR InfoSecurity entdeckte, dass ein Angreifer ein normales SystemUI-Popup mit einem Lockvogel überlagern konnte, um den Benutzer dazu zu bringen, der Anwendung Bildschirmaufzeichnungsberechtigungen zu erteilen. Der Grund? Android-Versionen neuer als 5.0 Lollipop können teilweise verdeckte SystemUI-Popups nicht erkennen.
Diese Schwachstelle wurde derzeit nur gepatcht Android 8.0 Oreo, heißt es in dem Bericht, und da auf den meisten Android-Smartphones nicht die neueste Android-Version läuft, bleibt dies ein ernstes Risiko. Laut Angaben waren am 2. Oktober etwa 77,5 % der aktiven Android-Geräte anfällig für den Angriff MWR InfoSecurity.
Es gibt keine kurzfristige Lösung für das Upgrade-Problem – das liegt an den Telefonherstellern. In der Zwischenzeit können sich Android-Entwickler jedoch gegen den Angriff wehren, indem sie das aktivieren FLAG_SECURE Layout-Parameter über den WindowManager ihrer Anwendung, der sicherstellt, dass der Inhalt der Anwendung Fenster werden als sicher behandelt und verhindern, dass sie in Screenshots angezeigt oder auf unsicheren Plattformen angezeigt werden zeigt an.
Was den Benutzer betrifft, MWR InfoSecurity fügt hinzu, dass dieser Angriff nicht völlig unentdeckbar sei. Im Bericht heißt es:
„Wenn eine Anwendung Zugriff auf den MediaProjection-Dienst erhält, generiert sie eine virtuelle Anzeige, die das Screencast-Symbol in der Benachrichtigungsleiste aktiviert. Sollten Benutzer in der Benachrichtigungsleiste ihres Geräts ein Screencast-Symbol sehen, sollten sie die Anwendung/den Prozess untersuchen, der derzeit auf ihren Geräten ausgeführt wird.“
Die Moral der Geschichte? Seien Sie vorsichtig, welche Apps Sie herunterladen.
Quelle: MWR InfoSecurity