Sicherheitsforscher von IBM X-Force weisen darauf hin, dass sich Angreifer mithilfe scheinbar harmloser Anwendungen - wie einem Spiel oder einer Taschenlampen-App - umfangreiche Zugriffsrechte auf dem Android-System erschleichen können. Bei deren Installation muss der Anwender zunächst keine besonderen Zugriffsrechte erteilen - durch die Lücke im Zertifikatssystem werden die Rechte der Apps aber im Hintergrund trotzdem erweitert und die Anwendungen damit zu sogenannten "Super-Apps" mit fast vollem Zugriff auf das System. Diese manipulieren den Android-Kernel, tauschen Apps aus und führen Shell-Befehle aus, um Nutzerdaten auszuspähen.
Unter dem Titel "One Class to rule them all" hat das IBM-Forscherteam ein Paper und ein Video veröffentlicht, in dem es die Lücke in der OpenSSL-X.509-Zertifikatklasse und das verwendete Angriffsmuster detailliert beschreiben. Die Zertifikatklasse dient unter anderem dazu, Apps den Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren.
Ein ähnliches Angriffsmuster war erst kürzlich im Zusammenhang mit dem Hacking-Team-Angriff bekannt geworden. Dort wurde eine gefakte News-App namens BeNews entwickelt, um die Filterregeln des Google Play Stores zu umgehen, um sich umfangreiche Zugriffsrechte auf dem Nutzersystem zu verschaffen und unbemerkt Schadcode nachzuladen, der dann eine schwere Sicherheitslücke ausnutzte.
Bevor alle Android-Nutzer nun in Panik verfallen, lesen Sie bitte noch folgende persönliche Einschätzung...
Kommentar: Ruhig Blut!
Wann haben Sie das letzte Mal ruhigen Gewissens Ihr Android-Smartphone benutzt? Es ist doch klar, dass dieses halbwegs offene System, das dazu eine große Verbreitung besitzt, Cyberkriminelle geradezu einlädt. Lücke hier, Lücke da - ich kann da nur noch müde lächeln. Das Beste ist, überhaupt keine Apps (schon gar nicht solche aus unbekannten Quellen) zu installieren, die nicht unbedingt notwendig sind und nicht schon einen gewissen Ruf, sprich gewisse Zahl an vertrauenswürdigen Nutzern, besitzen - seien es Bekannte, Verwandte, Freunde oder Kollegen oder zumindest "digitale Freunde". Absolute Sicherheit bringt das selbstredend auch nicht (um eine ausgelutschte Phrase aus der IT-Security-Branche zu bedienen) - aber manchmal habe ich schon den Eindruck, dass jede ach so kleine Lücke hochgehyped wird, als wäre sie das Ende der Welt. Einfach locker bleiben und nicht jeden Mist sofort installieren, dann geht der Kelch oftmals vorüber. Gesunden Menschenverstand einschalten, zeitnah Sicherheitsupdates installieren und dann mit offenen Augen durch die digitale Welt gehen.
- Top-Liste aus dem Google Play Store
Die Reihenfolge der beliebtesten kostenlosen Android-Apps ist eine Momentaufnahme vom 16.06.2015, basierend auf den Download-Zahlen von Googles App-Store. - Platz 15: Twitter
Mit der App können Sie direkt von Ihrem Android, tweeten, Statusmeldungen aktualisieren und die Tweets Ihrer Freunde lesen. - Platz 14: DU Battery Saver & Akku Doctor
Battery Doctor (Battery Saver) erhöht die Lebensdauer der Smartphone-Battery durch einen speziellen 3-Phasen-Ladezyklus. Zusätzlich lassen sich „stromfressende“ Tasks ermitteln und beenden. Die App bietet zahlreiche Informationen über den aktuellen Status der Hardware- und Software sowie mögliche Auswirkungen auf die Akkulaufzeit. - Platz 13: Firefox
Den bekannten Internetbrowser Firefox von Mozilla gibt es neben der Desktopvariante auch als App für Android-basierte Mobilgeräte. Dieser besitzt viele der Funktionen des großen Bruders. So lässt sich zum Beispiel das Tab-Browsing nutzen. Auch die Funktionen Chronik und Lesezeichen stehen dem Anwender zur Verfügung genauso wie das Verwalten von Passwörtern des Browsers. Zusätzlich kann der User seine Privatsphäre durch verschiedene Sicherheitseinstellungen individuell bestimmen, unübersichtliche Internetseiten automatisch in lesefreundliche Seiten umwandeln und den Browser durch Add-ons erweitern. - Platz 12: Battery Doctor
Battery Doctor (Battery Saver) erhöht die Lebensdauer der Smartphone-Battery durch einen speziellen 3-Phasen-Ladezyklus. Zusätzlich lassen sich „stromfressende“ Tasks ermitteln und beenden. Die App bietet zahlreiche Informationen über den aktuellen Status der Hardware- und Software sowie mögliche Auswirkungen auf die Akkulaufzeit. - Platz 11: Adobe Reader
Sehr viele Dokumente werden im PDF-Format verteilt. Dementsprechend fällt ein schlechter PDF-Reader auf dem Smartphone ins Gewicht. Der Adobe Reader für Android gehört zu den besseren Leseprogrammen - insbesondere was die Bedienung angeht. Überfrachtete Menüs gibt es nicht, gesteuert wird über bekannte Android-Gesten. Dateien werden direkt vom Smartphone-Speicher oder E-Mails geladen. Verschiedene Einstellungsmöglichkeiten was die Darstellungsqualität auf dem Smartphone angeht sollen helfen, auch lange PDF-Dokumente gut lesen zu können. - Platz 10: AVG AntiVirus Free
Die AVG AntiVirus App in der Free-Version schütz das Smartphone und Tablet in Echtzeit vor Virusattacken. Darüber hinaus bekämpft es Malware sowie Spyware und verhindert, dass schädliche Textnachrichten das mobile Gerät kompromittieren könnten. Auch das Aufbewahren von persönlichen Daten wird von der App unterstützt. Ein besonders Feature ist die Anruf- und Nachrichtenblockierung. Damit kann sich der Anwender vor Spam, Scam und Hacker-Angriffen schützen. So warnt zum Beispiel die Anruf- und Nachrichtenblockierung den User nicht nur vor verdächtigen Textnachrichten sondern ermöglicht auch durch Setzen von Filtern das Blockieren unerwünschter Anrufe und Nachrichten. Darüber hinaus bietet eine Widget-Funktion, dass der Nutzer auf die wichtigsten Optionen der Security-App direkt vom Startbildschirm zugreifen kann. - Platz 9: Google Übersetzer
Die Google Übersetzer-App unterstützt bis zu 90 Sprachen. Das Tool ist in der Lage, sowohl geschriebene als auch gesprochene Worte und Sätze direkt in die gewünschte Sprache zu übersetzen. Zusätzlich können Übersetzungen aus Kameraaufnahmen oder direkt aus handschriftlichen Aufzeichnungen erfolgen. Laut Hersteller ist bei den Übersetzungsarbeit eine Internetverbindung nicht notwendig. - Platz 8: DB Navigator
Unabhängig ob Sie ICE, S-Bahn, Bus oder Straßenbahn nutzen, Sie haben immer Zugriff auf den aktuellen Fahrplan in ganz Deutschland und Europa. Die App versorgt Sie mit Echtzeit-Informationen, Reiseplan und sogar mit einem DB Handy-Ticket. Darüber hinaus informiert Sie der DB Navigator über den aktuellen Streckenverlauf und mögliche Störungen oder Verspätungen. - Platz 7: Viber - Free Messages & Calls
Über die Gratis-App Viber Free Messages & Calls für Android-basierende Smartphone und Tablets lassen sich kostenlos SMS verschicken sowie Telefonate führen. Auch der Versand von Fotos und das Führen von Videogesprächen sind kostenfrei möglich. Allerdings wird vorausgesetzt, dass das mobile Gerät eine 3G- beziehungsweise WLAN-Verbindung ins Internet besitzt und die Gegenstelle ebenfalls die Viber-App auf seinem Gerät installiert hat. Viber nutzt dabei die Rufnummer des Smartphone oder Tablets als ID-Nummer. Die App synchronisiert sich mit der Kontakteliste des mobilen Gerätes und erkennt automatisch die Kontakte, die ebenfalls Viber zur Kommunikation nutzen. - Platz 6: Skype
Der populäre VoIP und Instant-Messenging-Dienst Skype findet nun mit einer eigenen App den Weg in den Android Market. Das Programm bietet alle Möglichkeiten des Dienstes an, wozu hauptsächlich die VoIP-Telefonie über WLAN und 3G zählen, genauso wie der integrierte Instant Messenger. Zusätzlich lassen sich auch Videogespräche führen. Auch eine direkte Anrufe und SMS an Handys oder Festnetztelefone sind möglich. - Platz 5: Instagram
Die kostenlose Android-App Instagram ermöglicht, komfortabel Fotos aufzunehmen und diese über die sozialen Kontakte des Anwenders zu verteilen. Dazu bietet die Software zahlreiche Filtereffekte oder verwende Tilt und Shift, um die Smartphone-Fotos ins rechte Licht zu rücken. So lassen sich zum Beispiel wichtige Momentaufnahmen aus dem Berufsleben mit den Kollegen teilen. Dazu können die Fotos direkt auf die sozialen Netzwerkangebote wie Facebook, Twitter, Flickr, Tumblr und Foursquare weitergeleitet werden. Laut Hersteller stehen dem Anwender stehen Uploads in unbegrenzter Menge zur Verfügung. - Platz 4: Clean Master
Clean Master ist eine Optimierungs-App und Sicherheitssuite. Mit dem Tool lassen sich App rückstandsfrei aus dem Speicher entfernen. Darüber hinaus bietet es Schutz gegen Viren, Trojaner und Malware. Gerade wenn der Speicher auf dem Smartphone knapp bemessen ist, soll der Optimierungsmanager gute Dienste leisten. - Platz 3: Facebook
Mit der Facebook App für Android ist der Anwender in der Lage, das eigen Profil und die Kontakte bequem über das Smartphone zu verwalten inklusive Statusupdates der Freunde. Zusätzlich lassen sich Nachrichten samt Fotos direkt mit den Freunden austauschen. Auch die Verwaltung von Gruppen und Veranstaltungen ist kein Problem. Eine einfach zu bedienende Suchfunktion vereinfacht das Auffinden von Personen. Über 3G/4G oder WLAN kann der User auch seine Facebook-Freunde per integrierter Internet-Telefonierfunktion direkt kontaktieren oder ihnen sogennate Sticker zukommen lassen. - Platz 2: Facebook Messenger
Der Facebook Messenger ermöglicht es, jederzeit mit seinen Freunden per Smartphones, Handys oder auf dem Computer n Kontakt zu treten. Über ein Chatsymbole werden die Nachrichten und SMS immer im Vordergrund gehalten, um jederzeit darauf zugreifen zu können. Der Clou: Der User kann mit seinen Kontakten chatten und gleichzeitig seine Hauptanwendungen bedienen beziehungsweise nutzen. - Platz 1: WhatsApp Messenger
Der WhatsApp Messenger ist ein Messaging-Programm nicht nur für Android-basierende Smartphones oder Tablets. Mit der App kann der Anwender kostenfrei Nachrichten, Bilder, Videos und Sprachnotizen verschicken. Allerdings muss der Empfänger der Nachricht ebenfalls die WhatsApp-Software auf seinem System besitzen. Der WhatsApp Messenger nutzt dabei eine Internetverbindung, sodass keine Kosten für den Nachrichtenversand entstehen. Die App ist auch für iPhone- und BlackBerry-Plattformen verfügbar.