Eine Sicherheitslücke in Android erlaubt es Schadsoftware, kostenpflichtige Rufnummern anzuwählen. Betroffen sind die Versionen Android Jellybean 4.1 bis 4.3 sowie Android KitKat 4.4.1 bis 4.4.3. Die momentan neuste Version Android 4.4.4 KitKat ist von der Schwachstelle ausgenommen.
Sicherheitslücke gewährt Zugriff auf Telefonfunktion
Auf betroffenen System können Apps auch ohne entsprechende Berechtigung Anrufe tätigen. Weiterhin erlaubt die Schwachstelle das Ausführen von Telefoncodes, über die weitere Eingriffe in das System möglich sind. Schadsoftware kann die Lücke ausnutzen, um kostenpflichtige Sonderrufnummern anzuwählen, was hohe Telefonrechnungen verursachen kann. Die anfälligen Android-Versionen im Überblick:
- Android Jelly Bean: Version 4.1.x, 4.2.x und 4.3.x
- Android KitKat: Version 4.4.1, 4.4.2 und 4.4.3
Schutz vor Schadsoftware
Die Sicherheitsexperten von Curesec haben die Android-Sicherheitslücke bereits Ende des vergangenen Jahres entdeckt. Google ist über die Schwachstelle informiert. Curesec bietet mit CRT-Kolme eine App zur Überprüfung von Android-Geräten an, welche die Möglichkeit zum unerlaubten Zugriff auf Telefonfunktionen überprüft.
Ein Schutz ist damit aber nicht möglich. Android-Anwender sollten sich allgemein über App-Berechtigungen informieren und Anwendungen nur aus vertrauenswürdigen Quellen installieren. Google hat mit Verify Apps die Überprüfung auf Schadsoftware verbessert und Android ab Version 2.3 so angepasst, dass ein fortlaufender Hintergrund-Scan stattfindet.
Worauf es bei den App-Berechtigungen ankommt und was es beim Installieren von Apps zu beachten gibt, erklären wir in unserer Übersicht der Android-Berechtigungen. Eine Analyse der Rechte von installierten Anwendungen ist mit F-Secure App Permissions möglich.
Dem Autor Jakob Straub auf Twitter und Google+ folgen.
Downloads
Passende Artikel
- App-Berechtigungen: Voreilige Zustimmung öffnet Android-Malware Tür und Tor
- Android: Werkseinstellungen bieten keinen ausreichenden Datenschutz beim Löschen
- Android Sicherheitslücke: Berechtigung ermöglicht Phishing-Angriff durch Verändern von Verknüpfungen
- Google Verify Apps: Schadsoftware auf dem Android-Handy soll durch Scan verhindert werden
- OpenSSL-Sicherheitslücke: Sicherheitsexperten beantworten wichtige Fragen zum Heartbleed-Fehler
Quelle: Curesec
Via: Computerworld