Android: Sicherheitslücke gewährt Hackern volle Kontrolle über Smartphones

Offenbar ist unter Android eine kritische Sicherheitslücke vorhanden, die Hackern den vollen Zugriff auf ein Smartphone erlaubt – auch dann, wenn der Bildschirm (scheinbar) gesperrt ist. Google sei das Problem mittlerweile schon bekannt.

Der komplette Vorgang, durch den sich Hacker unerwünscht Zugriff auf Android-Smartphones verschaffen können, nennt sich "Cloak and Dagger". Sicherheitsforschern vom "Cloak and Dagger"-Team zufolge wird von einer schädlichen App etwa eine Grafik oder eine Benutzeroberfläche über das eigentliche Kontext-Menü gelegt. Für den Nutzer sieht es dadurch so aus, als würde er nur harmlose Anweisung antippen. In Wirklichkeit bestätigt er damit aber beispielsweise den Vollzugriff einer Anwendung, ohne es zu bemerken – das "Clickjacking" war erfolgriech.

Erst mit Android O behoben?

Wie der Trick funktioniert, demonstrieren die Sicherheitsforscher in einem Video, das Ihr oberhalb des Artikels findet. In der ersten Hälfte des Clips wird die schädliche Anwendung so gezeigt, wie sie auch ein Nutzer sehen würde: Die Anwendung fordert scheinbar harmlose Eingaben, anschließend wird ein Video abgespielt.

Allerdings befindet sich die Position des "OK"- oder "Fortfahren"-Buttons immer an einer anderen Stelle. Den Grund dafür zeigt die zweite Hälfte des Videos: Mit jedem Fingertipp gewährt der Nutzer der App unwissentlich spezielle Rechte. Die "harmlosen" Buttons befinden sich immer an genau der Position, an der das eigentliche und unsichtbare Menü die entsprechende Taste für die Rechtezuweisung hat. Während das Video in dem Beispiel-Clip anschließend abgespielt wird, gewährt sich zeitgleich die schädliche App selbst den Vollzugriff auf das Smartphone.

Durch das "Clickjacking" können Hacker also jederzeit ohne Einschränkungen auf ein Android-Smartphone und dessen Apps zugreifen, sogar ohne den Bildschirm zu aktivieren. Es sei ebenfalls möglich, alle künftigen Passworteingaben von dem Gerät abzufangen. Google ist die Sicherheitslücke angeblich bereits bekannt. In Android 7.1.2 ist demnach bereits ein Fix enthalten, der Überlagerungen von Zugriffsrechte-Anfragen unterbinden soll. Allerdings funktioniere dies nur bei "normalen" Genehmigungen, nicht etwa bei "speziellen" Genehmigungen wie in diesem Fall. Neue Sicherheitsmechaniken, um "Clickjacking" und Co. zu unterbinden, sollen erst mit dem Update auf Android O kommen.


Weitere Artikel zum Thema
Google Home: So rich­tet ihr euer Smart Home ein
Christoph Lübben
Ein Google Home Mini reicht bereits aus, um euer Smart Home per Sprache zu steuern
Verbindet ihr Geräte aus eurem Smart Home mit Google Home, könnt ihr diese über Smartphone oder smarten Lautsprecher via Stimme steuern. So geht es.
Google Play Filme & Serien: Bald alle gekauf­ten Inhalte gratis in 4K?
Francis Lido
Google Play Filme & Serien könnte bald kostenlose 4K-Upgrades bieten
Google Play Filme & Serien bietet derzeit keine Möglichkeit, von SD oder HD auf 4K umzusteigen. Das könnte sich bald ändern.
Google Assi­stant über­setzt ab sofort auch auf Smart­pho­nes simul­tan
Michael Keller
Die Übersetzungs-Funktion des Google Assistant steht ab sofort auf mehr Geräten zur Verfügung
Der Google Assistant übersetzt für euch in Echtzeit – ab sofort auf allen Kopfhörern und Android-Smartphones, die den Assistenten unterstützen.

Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Durch die weitere Nutzung der Website stimmen Sie dem zu. Um mehr über die von uns verwendeten Cookies zu erfahren und wie man sie deaktiviert, können Sie unsere Cookie-Richtlinie aufrufen.