Mit Apps der Zugriffsrechtestufe "normal" können Angreifer Icons auf dem Homescreen von Android-Smartphones und -Tablets durch Fälschungen mit Links auf Phishing-Apps oder -Websites ersetzen. Davor warnen die Sicherheitsexperten von FireEye. FireEye hat nach eigenen Angaben einen solchen Angriff auf einem Nexus 7 mit Android 4.4.2 Kitkat erfolgreich durchgeführt. Plattform-Betreiber Google habe weder die Veröffentlichung der für den Test manipulierten App der Zugriffsrechte-Kategorie "normal" verhindert, noch habe es Warnhinweise an den Nutzer beim Herunterladen und Installieren der bösartigen Anwendung gegeben.
Foto: Fireeye
"Zwar wird seit Android 4.2 die Berechtigung com.android.launcher.permission.INSTALL_SHORTCUT, die es Apps erlaubt, Icons zu erstellen, nicht mehr als 'normal', sondern als 'dangerous' eingestuft. Das erhöht zweifellos die Sicherheit", erläutert FireEye. "Allerdings können Angreifer nach wie vor Android-Homescreen-Icons manipulieren, indem sie die zwei 'normal'-Berechtigungen com.android.launcher.permission.READ_SETTINGS und com.android.launcher.permission.WRITE_SETTINGS nutzen. Diese Zugriffsrechte ermöglichen es einer App, die Konfiguration des Launcher abzufragen, zu ergänzen, zu löschen oder zu modifizieren." Dazu gehöre auch das Einfügen oder Modifizieren von Icons.
Seit Android 1.x werden die beiden genannten Zugriffsrechte durchgängig als 'normal' eingestuft, berichtet FireEye. Google habe die Existenz der Schwachstelle bestätigt und einen entsprechenden Patch für seine OEM-Partner herausgegeben. Allerdings hätten viele Händler von Android-Geräten solche Sicherheits-Updates früher oft nur langsam übernommen.