Es ist ein besonders unangenehmes Sicherheitsdefizit, das die norwegische Firma Promon da aufgespürt hat. Eine Lücke in Android ermöglicht es Angreifern theoretisch sich mit ihrer Schadsoftware über andere Apps zu legen – und so den Nutzern sensible Daten zu entlocken.

Zweiter Anlauf

Der Angriff nennt sich Strandhogg 2.0 und ist – wie die Version bereits nahelegt – eine erweiterte Version einer früheren Attacke. Allerdings eine, die erheblich mächtiger ist. War Strandhogg 1.0 noch recht einfach aufzuspüren, da sie sich im Manifest eines Android-Pakets verankern musst, ist das in der neuen Variante nicht mehr der Fall. Zudem können über den neuen Trick mehrere Apps gleichzeitig angegriffen werden.

Konkret geht es darum, dass die Attacke eine Reihe von Intents und Aktivitäten ausführt, mit der es gelingt, den sichtbaren Teil einer Android-App zu überlagern. Besondere Berechtigungen sind dabei nicht vonnöten, es wird einfach das selbe System umgebogen, das etwa auch erlaubt, dass eine Webseite direkt in Gmail angezeigt wird, wenn man dort einen Link anklickt.

Ablauf

Der Angriff funktioniert nun so, dass den Usern zunächst eine entsprechend manipulierte App untergejubelt wird. Diese öffnet nach dem Start unbemerkt im Hintergrund die Ziel-App – etwa Gmail. Anschließend wird über Gmail allerdings eine eigene Anzeige gelegt, also etwa ein gefakter Login-Screen, mit dem die User dazu gebracht werden sollen, die Daten zu ihrem Google-Account einzutippen. Tun sie das, werden sie zu Opfern eines Phishing-Angriffs.

Solch ein Angriff ist nicht nur einfach durchzuführen, die Sicherheitsforscher befürchten auch, dass er leicht zu verstecken sein dürfte. Insofern könnte es für Google auch schwer sein, entsprechende Apps mit Vorabchecks aus dem Play Store zu halten.

Update

Allerdings gibt es zumindest einen Trost: Die Lücke funktioniert "nur" bis Android 9.0, die aktuellste Generation von Googles Betriebssystem ist also nicht mehr betroffen. Das ist allerdings ein relativ schwacher Trost, immerhin sind weltweit gesehen noch immer rund 90 Prozent aller Android-Geräte auf Android 9.0 oder älter. In Österreich sind derzeit ebenfalls erst um die 30 Prozent auf der neuesten Softwaregeneration von Google. Für ältere Geräte gibt es zwar schon einen Sicherheits-Patch, der mit dem aktuellen Mai-Update veröffentlicht wurde, wie viele Devices diesen erhalten ist aber unklar, da es dazu keine brauchbaren Zahlen gibt. Bleibt der Trost, dass es laut Promon bisher keinerlei Belege dafür gibt, dass die Strandhogg-2.0-Lücke bereits aktiv ausgenutzt wird. (apo, 31.05.2020)