User-Interface-Architektur birgt Sicherheitsrisiken

Android-Architektur – eine Herausforderung für Unternehmen

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Zwei unterschiedliche Berechtigungen für Apps im Android-Betriebssystem erlauben es nicht nur Anwender auszuspionieren, sondern auch unbemerkt Apps mit beliebigen App-Rechten zu versehen.

Neben einer grundsätzlichen Architekturschwäche von Android, der - in meinen Augen nicht wirklich effizienten - Verschlüsselung von Android-Systemen, sowie dem nicht unterbindbaren Datenzugriff auf Android-for-Work-Daten gibt es noch eine weitere Herausforderung, die Android in seiner Architektur mitbringt: Das Mitlesen von Eingaben.

Das Mitlesen von Eingabendurch den Anwender gehört in vielen Augen zu einer Sicherheitslücke. Bei Android ist es ein architektonisch "erlaubtes" Vorgehen für App-Entwickler - das diese allerdings für "unseriöse Zweck" ausnutzen könn(t)en. So lässt sich das Berechtigungsmodell von Android dazu verwenden, um einen so genannten Keylogger zu erzeugen, der alles das protokolliert, was der Anwender eingibt. Aber die Lücke erlaubt noch mehr. Apps können mit unbeschränkten Rechten versehen werden ohne dass ein Anwender dies bemerkt.

Sicherheitsforscher der Universitäten in UC Santa Barbara und Georgia Tech in den USA haben bereits im August 2016 dieses Risiko ursprünglich entdeckt. Seitdem macht es unter der Bezeichnung "Cloak & Dagger" im Internet die Runde.

Zwei "harmlose" Berechtigungen - die Mischung macht es

Die Lücke basiert auf der Ausnutzung von zwei App-Rechten. Da wäre als erste das App-Recht "SYSTEM_ALERT_WINDOW". Dieses Recht erlaubt es einer App, unsichtbare Overlays (englisch für "Überlagerung") auf die vorhandene Bedienoberfläche zu legen. Diese Manipulation kann zum einen genutzt werden, um Warnmeldungen zu verstecken, zum anderen aber auch, um Touch-Eingaben abzufangen. Kann der Angreifer so ein Overlay über eine Tastatur legen, ist das Zurückrechnen der Touch-Eingaben auf entsprechende Tastaturwerte eine Leichtigkeit.

Das zweite App-Recht "BIND_ACCESSIBILITY_SERVICE" wiederum kann verwendet werden, um Eingaben am System vorzutäuschen, ohne dass der Anwender diese tatsächlich getätigt hat.

Geschicktes Ausnutzen dieser beiden App-Rechte ermöglicht damit auch, einer App mehr Berechtigungen zu erschwindeln. Dies wird erreicht, indem Eingaben des Anwenders vorgetäuscht und dank der Bildschirmmanipulation optisch versteckt werden. Dies macht den Angriff noch gefährlicher, da er optisch und inhaltlich quasi nicht in Erscheinung tritt.

Hier drei Videos zu dem Thema:

Heimliches Overlay über App-Interaktion

Abfangen der Anwender-Integration und heimlicher God-Mode-App-Install

Phishing-Angriff

Abschließende Bewertung der Sachlage

Ich finde es bedenklich, wie sich einige sicherheitsrelevante Herausforderungen, aus den inhärenten Architekturbestandteilen des Berechtigungssystems selbst, ergeben. Ich denke, dass Google noch ein paar Jahre braucht, um nicht nur ein günstiges OS für den Einsatz im Unternehmen zu liefern, sondern auch ein architektonisch sicheres Betriebssystem.

Mit Android O soll dann auch inhaltlich das System entsprechend gehärtet werden. Alleine diese Lücke sollte jedem aufzeigen, dass man mit Geräten, die unterhalb der Major-Version sind, gefährlich lebt. Auch stetige Sicherheits-Patches helfen nicht, da die Probleme in der Architektur liegen - und nicht in einem "Bug", der gefixt werden müssen.

Der Vollständigkeit halber sollte erwähnt werden, dass Google die Bereitstellung von Apps mit dem Potential, diese Lücke auszunutzen, nicht mehr im Play Store anbietet. Laut "The Register" löscht Google genauer gesagt entsprechende Apps aus dem Store. (mb)