Security

Neue Android-Sicherheitslücke: Android-Geräte über In-App-Werbung angreifbar

Die Experten von MWR Labs warnen vor einer neuen Sicherheitslücke, die potentiell alle Android-Geräte betrifft. Über In-App-Werbung lässt sich Schadcode einschleusen und ausführen.

30.09.2013, 14:07 Uhr
SMS schreiben© Andres Rodriguez / Fotolia.com

Android ist mit weitem Abstand das führende mobile Betriebssystem und kommt sowohl auf zahlreichen Smartphones als auch auf Tablets zum Einsatz. Immer häufiger wird Android angesichts der riesigen Nutzeranzahl aber auch zur Zielscheibe von Attacken. Die Experten von MWR Labs sind bei der Analyse von Entwickler-Toolkits für Werbenetzwerke nun auf eine neue Sicherheitslücke gestoßen, die alle Android-Systeme betrifft. Angreifer können, wenn sie sich im selben Netz befinden, über Werbung innerhalb von Apps auf das Betriebssystem Zugriff erhalten und Schadcode ausführen.

WebView nutzt ungesicherte Verbindung

Viele kostenlose Apps und Spiele des Play Store von Google nutzen demnach WebView, um HTML-Inhalte von Werbe-Servern zu laden und in den Apps anzuzeigen. Die Verbindung von WebView zu den Servern sei allerdings ungesichert. Daher bestehe die Gefahr, dass JavaScript-Code auf die Android-Geräte geschleust wird und willkürliche Befehle ausgeführt werden.

Von den 100 populärsten Android-Apps enthielten laut den Analysen von MWR Labs 79 mobile Anwendungen Werbung. Davon waren 62 potentiell von der Sicherheitslücke betroffen. Alle Android-Spiele und Anwendungen, die In-App-Werbung nutzen, die auf Basis von SDKs unterhalb der API-Stufe 17 entwickelt wurden, sind potentiell bedroht. Vielfach werden aber noch ältere und somit unsichere Versionen genutzt.

Android 4.2 (API 17 oder höher) nicht betroffen

Als vorläufigen Workaround rät MWR Labs den Nutzern alle Apps, die Werbung enthalten, von ihrem Gerät zu entfernen. Alternativ sollten sich die Nutzer andernfalls versichern, dass sie nur vertrauensvolle Netze nutzen, wenn sie Anwendungen mit In-App-Werbung verwenden. In aktuellen SDKs zur Entwicklung von Apps für Android 4.2 (API 17 oder höher) trete das Sicherheitsproblem nicht mehr auf. Die detaillierten Hinweise zu der Android-Sicherheitslücke finden sich auf der Webseite von MWR Labs.

(Jörg Schamberg)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang