Android: 11 Apps mit gefährlicher Schwachstelle CVE-2020-8913 im Google Play Store

[English]Sicherheitsforscher von Check Point warnen Android-Nutzer vor Apps mit gefährlichen Schwachstellen im Google Play Store. Zu den beliebten aber gefährdeten Apps aus dem Play Store gehören anderem die Dating-App Bumble, die App des Reiseveranstalters Booking und der Microsoft-Browser Edge.


Anzeige

Die betreffende Warnung ging mit direkt von Check Point per E-Mail zu. Deren Sicherheitsforscher entdeckten viele ungeschützte Android-Apps mit gravierenden Schwachstellen. Hacker können diese Apps diese als Hintertür missbrauchen, um Smartphones zu infiltrieren.

Warnung von Check Point

Die Sicherheitsforscher Daher warnen alle Besitzer eines Android-Smartphones vor den angreifbaren Android-Apps. Denn im Google Play Store befinden sich elf Apps, die über die gefährliche Schwachstelle CVE-2020-8913 verfügen, die als Hintertür ausgenutzt werden kann. Zu den Apps zählen auch in Deutschland beliebte Anwendungen, wie die des Reiseveranstalters Booking, die Konferenz-Anwendung Cisco Teams, der Microsoft-Web-Browser Edge und die bekannten Dating-Apps OKCupid und Bumble. Booking veröffentlichte bereits eine neue Version, die dringend heruntergeladen werden sollte. Die anderen Anbieter wurden von Check Point ebenfalls informiert.

Hacker können über die Schwachstelle einen Schad-Code ausführen und damit die volle Kontrolle über die jeweilige App übernehmen – wodurch sie auch deren Berechtigungen und Zugriffe auf das Smartphone erhalten. Auf diese Weise lassen sich personenbezogene Daten auslesen und stehlen – auch von anderen Anwendungen – darunter Zugangsdaten, Kennwörter, Finanzinformationen oder E-Mail-Informationen.

Infektion des Smartphones

Die Infektion des Smartphones läuft dabei folgendermaßen ab: Nutzer installieren unwissentlich eine verseuchte App. Diese wiederum schickt den Schad-Code an eine anfällige, installierte App. Die dort installierte, alte Play Core Library führt die Payload aus und aktiviert damit den Angriff selbst. Nun kann die Payload die volle Kontrolle der App übernehmen.

Angriff auf Android-Apps
Abbildung: Infographik zeigt den einfachen Angriffsweg.

Fehler in Googles Play Core Library

Die Schwachstelle geht auf einen Fehler in Googles Play Core Library zurück, über welche die Entwickler einer Anwendung ihre Aktualisierungen und neue Funktionen einspielen können. Google selbst behob den Fehler zwar bereits am 6. April 2020 und vergab die Priorität 8,8 von 10 Punkten, doch die Entwickler müssen ihre Applikationen ebenfalls mit einem Update versorgen, um die Lücke zu schließen.

Die Sicherheitsforscher von Check Point untersuchten daher einige sehr beliebte und verbreitete Apps, um deren Status zu prüfen. Das Ergebnis lautet, dass im September insgesamt 13 Prozent aller Applikationen im Play Store die Play Core Library nutzen und 8 Prozent davon noch anfällig für die Schwachstelle waren. Aufgrund des ständigen Zuwachs und der Abgänge aus dem Katalog des Google Play Stores ist es zwar nicht möglich, durchgängig eine genaue Anzahl der Applikationen zu nennen, die betroffen sind.

Stand 30. Oktober aber wären das bei 2 560 000 Apps im Store also 332 800 Apps (13 Prozent), welche die Library eingebaut haben, und 26 624 anfällige Apps (8 Prozent). Weiterhin gefährdete prominente Apps sind: Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector, Booking und Viber.


Anzeige

Millionen Android-Nutzer im Risiko

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – Check Point Software Technologies GmbH, führt zur Forschung aus: „Wir schätzen, dass mehrere Hundertmillionen von Android-Benutzern einer Bedrohung ausgesetzt sind. Obwohl Google einen Patch implementiert hat, um den Fehler zu beheben, verwenden einige Anwendungen noch veraltete Play Core-Bibliotheken. Die Sicherheitslücke CVE-2020-8913 aber ist äußerst gefährlich, denn sie kann andere Apps völlig übernehmen und sensible Daten stehlen. Unter anderem könnte ein Hacker auf diese Weise die Codes einer Zwei-Faktor-Authentifizierung stehlen oder Schad-Code in Bankanwendungen injizieren, um derartige Zugangsdaten zu erlangen. Außerdem könnte ein Angreifer schädlichen Code in Social-Media-Anwendungen schleusen, um Anwender auszuspionieren oder in Nachrichtendienste, um alle Nachrichten abzurufen. Die Möglichkeiten eines Angriffs sind lediglich durch die Vorstellungskraft der Cyber-Kriminellen begrenzt. Es ist daher unerlässlich – besonders auf Endgeräten mit Unternehmensdaten – qualifizierte Sicherheitslösungen zu installieren, die solche Angriffe im Keim ersticken.“

Anhand einer alten, noch anfälligen Version von Google Chrome demonstrieren die Sicherheitsforscher außerdem den Angriff und zeigen das in einem Video. Der Browser ist mittlerweile aber sicher. Ihr Ziel war es, eine Payload zu entwickeln, welche die Lesezeichen stiehlt. Im Video zeigen die Experten, wie ein Hacker die Cookies stehlen könnte, um über eine Drittanbieter-Anwendung, wie Dropbox, den Browser zu knacken. Wenn erfolgreich, erhält die Payload die selben Berechtigungen und Zugriffe auf dem Smartphone, wie die Browser-App und kann daher Cookies, den Verlauf von Chrome oder den Passwort-Manager auslesen. Google wurde kontaktiert und ließ verlauten: „Die betroffene Schwachstelle, CVE-2020-8913, existiert nicht in aktualisierten Play-Core-Versionen.“ Den Überblick dieser Ergebnisse erhalten Sie hier, und alle technischen Einzelheiten finden sich hier.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit Android, App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Android: 11 Apps mit gefährlicher Schwachstelle CVE-2020-8913 im Google Play Store

  1. Herr IngoW sagt:

    Für den EDGE-Browser in Android ist heute ein Update aufgeschlagen (Version 45.11.4.5104)
    Ob hier das Problem behoben wird?

  2. janil sagt:

    danke für die info, hatte edge schon heute vormittag von handy und tablet gelöscht. warten wir ab, wie es weiter geht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.