Microsoft-Forscher haben kürzlich herausgefunden, dass viele Android-Apps, darunter mindestens vier mit jeweils mehr als 500 Millionen Installationen, aufgrund einer häufigen Sicherheitslücke anfällig für Remote-Codeausführungsangriffe, Token-Diebstahl und andere Probleme sind.
Microsoft hat das Android-Sicherheitsforschungsteam von Google über das Problem informiert und Google hat neue Richtlinien für Android-App-Entwickler veröffentlicht, wie das Problem erkannt und behoben werden kann.
Microsoft teilte seine Erkenntnisse auch den betroffenen Android-App-Anbietern im Google Play Store mit. Darunter waren das File Manager-Produkt von Xiaomi Inc. mit mehr als einer Milliarde Installationen und WPS Office mit rund 500 Millionen Downloads.
Microsoft sagte, dass die Lieferanten beider Produkte das Problem bereits behoben hätten. Er glaubt jedoch, dass es aufgrund derselben Sicherheitslücke auch andere Anwendungen gibt, die ausgenutzt und kompromittiert werden können.
„Wir gehen davon aus, dass das Schwachstellenmuster auch in anderen Anwendungen zu finden ist. Wir teilen diese Forschung, damit Entwickler und Herausgeber ihre Apps auf ähnliche Probleme überprüfen, diese bei Bedarf beheben und die Einführung solcher Schwachstellen in neuen Apps oder Versionen vermeiden können.“ Das sagte das Threat-Intelligence-Team von Microsoft.
Das von Microsoft entdeckte Problem betrifft Android-Apps, die Dateien mit anderen Apps teilen. Um die sichere Freigabe zu erleichtern, implementiert Android eine sogenannte „Content Provider“-Funktion, die im Wesentlichen als Schnittstelle zum Verwalten und Offenlegen der Daten einer App für andere auf einem Gerät installierte Apps fungiert, so Microsoft.
Eine Anwendung, die ihre Dateien teilen muss (oder ein Dateianbieter im Android-Sprachgebrauch), deklariert die spezifischen Pfade, die andere Anwendungen verwenden können, um auf die Daten zuzugreifen. Dateianbieter verfügen außerdem über eine Identifizierungsfunktion, die andere Anwendungen als Adresse verwenden können, um sie auf einem System zu finden.
Zu den typischen Dateifreigabezielen gehören E-Mail-Clients, Messaging-Anwendungen, Netzwerkanwendungen, Browser und Dateieditoren. Wenn ein Freigabeziel einen bösartigen Dateinamen empfängt, verwendet es den Dateinamen, um die Datei zu initialisieren und einen Prozess auszulösen, der zur Gefährdung der Anwendung führen könnte, so Microsoft.
Sowohl Microsoft als auch Google haben Entwicklern Anleitungen zur Vermeidung dieses Problems bereitgestellt. Endbenutzer hingegen können das Risiko mindern, indem sie sicherstellen, dass ihre Android-Apps auf dem neuesten Stand sind und nur Apps von vertrauenswürdigen Quellen installieren.
