Googles Smartphone-Betriebssystem Android nutzt ein Unix-ähnliches System um die Berechtigungen für Applikationen zu verwalten. Die Idee dahinter: Jede App muss während der Installation genau anzeigen, welche Rechte sie sich nimmt. Der Nutzer kann diese Rechte einsehen und muss den Zugriff bestätigen. Lehnt er ab, wird die App nicht installiert. Der Sicherheitshersteller Trend Micro hat sich mit dem Rechte-Konzept von Android befasst und dabei einige Schwachstellen gefunden, über die bösartige Applikationen die Sicherheitsfunktionen von Android umgehen können. Die Ergebnisse der Untersuchung, samt zahlreicher Beispiele und Bildschirmfotos, schildern die Sicherheitsexperten in einem Blog-Beitrag.
Malware vom Typ „Schmarotzer“ nutzt laut Trend Micro eine legitime Applikation und spannt deren Berechtigungen für ihre Zwecke ein. Ein praktisches Beispiel dafür: Wenn sich Malware keine eigenen Rechte für den Internetzugriff reserviert. Stattdessen nutzt sie beispielsweise den Browser, um den Nutzer auf eine bösartige Webseite zu leiten. Das klappt, da Android automatisch die passenden Apps vorschlägt, wenn eine Applikation auf Funktionen zugreifen möchte, die sie nicht selbst mitbringt. So wird auch ohne explizite Genehmigung die Verbindung zur schädlichen Seite aufgebaut.
Typ 2 sind Schnüffel-Applikationen. Diese müssen nicht zwingend auf private Daten abzielen, denn die meisten Android-Apps liefern eine viel bessere Datenquelle: Logs. Diese Protokolle werden von den meisten Entwicklern automatisch erstellt, um Fehler und Probleme nachvollziehen zu können. Sie speichern dazu eine große Reihe von Informationen, etwa GPS-Koordinaten, besuchte Webseiten oder welche Apps installiert sind. Die Speicherorte dieser Logging-Daten sind oft bekannt und können ohne Probleme kopiert, ausgelesen und ausgewertet werden.
Der dritte Typ sind so genannte Trittbrettfahrer-Schadprogramme. Diese machen sich eine Eigenart von Android zu Nutze: Erlaubt ein Nutzer bestimmte Funktionen in einer legitimen Applikation, kann sich eine andere Applikation diese unter Umständen suchen und selbst aufrufen. Klappt dies mit System-nahen Anwendungen und -Funktionen, können sich die bösartigen Programme unter Umständen weitreichende Rechte sichern.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.