Das Forschungsteam Unit 42 von Palo Alto Networks warnt vor einer Schwachstelle auf der Google-Android-Plattform. Die neueste Version Android 8.0 Oreo ist nicht betroffen, aber alle früheren, häufig noch genutzten Versionen von Android. Die Sicherheitsexperten raten Android-Nutzern, gegebenenfalls Updates aufzuspülen, die im aktuellen Android Security Bulletin vom September 2017 verfügbar sind, um sich davor zu schützen, dass sich Cyberangreifer diese Sicherheitslücke zunutze machen.
Overlay-Angriffe sind generell bereits ein bekanntes Problem auf der Android-Plattform. Cyberkriminelle versuchen dabei, bösartige Software einzuschleusen, um die Kontrolle über das Gerät zu erlangen. In einem Worst-Case-Angriffsszenario könnte diese Schwachstelle ausgenutzt werden, um das Gerät unbrauchbar zu machen sowie Ransomware, Information Stealer oder irgendeine andere Art von Malware zu installieren.
Bei einem Overlay-Angriff überlagert die App eines Angreifers andere Fenster und Apps, die auf dem Gerät laufen. Wenn der Angreifer erfolgreich ist, kann er den Benutzer dazu bringen, dass er auf ein bestimmtes Fenster klickt und damit die vom Angreifer erwünschte Aktion auslöst. Beim rechtmäßigen Benutzer erscheint beispielweise ein Fenster, um einen Patch zu installieren. Wenn der Benutzer dieses Fenster antippt, gewährt er unwissentlich der Malware vollständige Administratorberechtigungen auf dem Gerät.
Bislang ist die Forschung davon ausgegangen, nachzulesen im IEEE Security & Privacy Paper, dass bösartige Apps zwei signifikante Hürden überwinden müssen, um einen erfolgreichen Overlay-Angriff auszuführen: Sie müssen, erstens, explizit die „Draw on top“-Berechtigung vom Benutzer bei der Installation anfordern und, zweitens, von Google Play installiert werden. Dies sind zwei signifikante Hürden, weshalb Overlay-Angriffe bisher nicht als ernsthafte Bedrohung eingestuft wurden.
Allerdings zeigen die jüngsten Forschungsergebnisse von Unit 42, dass es doch eine Möglichkeit gibt, Overlay-Angriffe auszuführen, unabhängig von diesen zwei Faktoren. Wenn eine bösartige App die neu entdeckte Schwachstelle in Android ausnutzen würde, könnte ein Overlay-Angriff durchgeführt werden, indem die erforderliche Malware einfach auf dem Gerät installiert wird. Dies bedeutet insbesondere, dass Apps von Websites und App-Stores außer Google Play durchaus Overlay-Angriffe ausführen können. Zweifelhafte App-Stores stellen bekanntermaßen weltweit eine bedeutende Quelle für Android-Malware dar.
Die erwähnte Schwachstelle betrifft die Android-Funktion Toast, eine Art Benachrichtigungsfenster, das plötzlich auf dem Bildschirm erscheint, wie eine aus dem Toaster herausspringende Scheibe Toastbrot. Die Funktion wird normalerweise verwendet, um Nachrichten und Benachrichtigungen über andere Apps anzuzeigen. Im Gegensatz zu sonstigen Fenstertypen in Android benötigt Toast nicht die gleichen Berechtigungen, was die Sache für Angreifer einfacher macht. Darüber hinaus haben die Forscher von Palo Alto Networks skizziert, wie es möglich ist, ein Toast-Fenster zu erstellen, das den gesamten Bildschirm überlagert, so dass es möglich ist, das funktionale Äquivalent von regulären App-Fenstern zu erstellen.
Die Sicherheitsexperten von Palo Alto Networks betonen zudem erneut, dass einer der besten Schutzmaßnahmen gegen bösartige Apps darin besteht, Android-Apps nur von Google Play zu beziehen.
www.paloaltonetworks.com