Android-Apps konnten unbemerkt Fotos und Videos aufnehmen
Manipulierte Apps für Android-Smartphones konnten Fotos und Videos mit Ton aufnehmen, um Nutzerinnen und Nutzer auszuspionieren. Durch eine Sicherheitslücke war es möglich, die eigentlich für Kamera und Mikrofon nötigen Zugriffsbeschränkungen zu umgehen. Das berichtet das Sicherheitsunternehmen Checkmarx.
Die Sicherheitslücke haben die Sicherheitsforscher in der Google-Kamera-App gefunden. Sie ist auf den Pixel-Geräten von Google vorinstalliert. Auch in der Kamera-App auf Samsung-Smartphones war die Sicherheitslücke vorhanden. Beide Hersteller haben das Problem bereits beseitigt.
Berechtigungen ließen sich umgehen
Normalerweise brauchen Apps unter Android Berechtigungen, um etwa auf die Kamera oder das Mikrofon zuzugreifen. Üblicherweise fragen neu installierte Anwendungen beim ersten Start nach den Berechtigungen, die sie gerne hätten. Man kann diese dann auch verweigern.
In dem von Checkmarx aufgedeckten Fall konnten bösartige Apps jedoch die Kamera-App missbrauchen, die dann für sie Videos aufzeichnete oder Fotos machte. Die einzige Berechtigung, die die App eines möglichen Angreifers benötigte, war der Zugriff auf den internen Speicher, in dem Fotos und Videos liegen. Dies ist unter Android eine gängige Berechtigung, nach der viele Apps fragen. Ein Problem hierbei ist, dass diese nach dem Prinzip “Alles oder Nichts” erfolgt. Apps können also entweder auf alle oder auf gar keine Dateien zugreifen. Speziell auszuschließen, dass eine App mit Speicherzugriff Fotos sehen kann, ist nicht möglich.
Smartphone wurde zur Wanze
Um einen möglichen Spionageversuch zu demonstrieren, hat Checkmarx eine Beispiel-App erstellt, einen sogenannten “Proof of Concept”. Damit wird gezeigt, dass sich die Sicherheitslücke tatsächlich ausnutzen lässt. Dieses Beispiel-Programm war als Wetter-App getarnt, führte aber anderes im Schilde. Wurde die App das erste Mal gestartet, baute sie eine Verbindung zu einer Server-Software auf, die auf einem entfernten Computer lief. Diese Verbindung blieb nach Angaben von Checkmarx auch dann bestehen, wenn die App geschlossen wird.
Über das Server-Programm ließen sich Befehle an die App schicken. So war es möglich, ein Foto aufzunehmen und dieses an den Server zu übermitteln. Die Töne der Kamera-App lassen sich ausschalten, um nicht sofort aufzufallen.
Videos inklusive Ton ließen sich ebenfalls aufnehmen und übertragen. Dabei war es dem Sicherheitsteam auch möglich, solche Aufnahmen während eines Telefonates zu starten und damit beide Seiten einer Konversation mitzuschneiden. Während den Aufzeichnungen öffnete sich kurzzeitig die Kamera-Software. Um dies zu umgehen, konnten die Entwickler mit ihrer App auch den Näherungssensor des Telefons ansprechen. So ließ sich erkennen, ob das Gerät ans Ohr gehalten wird oder mit dem Bildschirm nach unten liegt, um nur in diesem Fall Fotos oder Videos aufzunehmen.
Bettete die Kamera Standortdaten in die Fotos ein, wurden auch diese übertragen. Sie konnten auch aus bereits vorhandenen Fotos auf dem Handy ausgelesen werden. Effektiv ermöglicht dies, den Standort des Handys nachzuvollziehen.
Checkmarx führt die Möglichkeiten in einem Video vor.
Updates teilweise verfügbar
Bereits Anfang Juli 2019 hat Checkmarx die Sicherheitslücke an das Android-Sicherheitsteam von Google gemeldet. Zu diesem Zeitpunkt wurde das Problem noch nicht öffentlich gemacht. Dies ist ein übliches Vorgehen, um zu verhindern, dass potenzielle Angreifer auf eine noch nicht geschlossene Sicherheitslücke aufmerksam werden. Samsung hat das Problem daraufhin ebenfalls bestätigt.
Erst jetzt wurden die Details zu dem Problem veröffentlicht, nachdem beide Hersteller Updates veröffentlich haben, die die Sicherheitslücke schließen. Checkmarx empfiehlt daher, die installierten Anwendungen auf dem aktuellen Stand zu halten. Das geht im Play Store über das Dreistrich-Menü unter “Meine Apps und Spiele”. Dort werden verfügbare Updates aufgelistet. Die jeweils aktuellste, verfügbare Android-Version lässt sich über “Einstellungen → System → Erweitert → Systemupdate” herunterladen.
Laut dem Checkmarx-Bericht haben auch andere Hersteller, die das Android-Betriebssystem auf ihren Geräten verwenden, die Sicherheitslücke gegenüber Google bestätigt. Um welche es sich handelt und ob diese bereits entsprechende Updates veröffentlicht haben, ist nicht bekannt. (js)