StrandHogg 2.0: Der bösere Zwilling einer älteren Android-Lücke

Aufgrund einer Sicherheitslücke in Android könnte sich eine Schadcode-App als legitime Apps ausgeben und beispielsweise Login-Daten abgreifen.

by

Angreifer könnten Android-Geräte über die StrandHogg 2.0 getaufte Schwachstelle attackieren und die Kontrolle über viele Funktionen wie GPS oder die Kamera erlangen. Angriffe sind aber nicht ohne Weiteres möglich.

Google hat am Patchday im Mai Sicherheitsupdates für seine Nexus-Geräte veröffentlicht, um die Lücke (CVE-2020-0096) zu schließen. Android-Partner sollen den Patch einem Bericht der Entdecker der Lücke von Promon zufolge im April erhalten haben. Bedroht sind alle Android-Versionen bis einschließlich 9.0. Die aktuelle Android-Ausgabe 10 ist nicht betroffen. Root-Zugriff soll für erfolgreiche Attacken nicht vonnöten sein.

In seiner Meldung zum Patchday im Mai 2020 stuft Google das Angriffsrisiko als "kritisch" ein. Aus der National Vulnerability Database des National Institute of Standards and Technology (NIST) geht wiederum hervor, dass der Bedrohungsgrad als "hoch" gilt. Bislang soll es keine dokumentierten Attacken gegeben haben.

Desaströse Auswirkungen, aber ...

In der Theorie könnten Angreifer im Grunde die meisten legitimen Apps aus Google Play hijacken, um so beispielsweise an persönliche Daten zu kommen. Das ist durchaus als kritisch einzustufen. Damit eine Attacke erfolgreich ist, muss auf einem verwundbaren Android-Gerät aber bereits eine bösartige App installiert sein. So wie es aussieht, ist der Angreifer auf die Mithilfe von Opfern angewiesen, damit sie einen Fuß in Systeme setzen können.

Ist die Voraussetzung erfüllt, könnten Angreifer über ihre Schadcode-App legitime Apps hijacken. Öffnet ein Opfer nun über das Original-Icon beispielsweise die attackierte Facebook-App, läuft vom Opfer unbemerkt Schadcode im Hintergrund.

Sicherheitsforscher attackieren mehrere legitime Apps über die StrandHogg-2.0-Lücke.

So könnten Angreifer beispielsweise GPS-Berechtigungen unter dem Tarnmantel einer legitimen App abfragen und sich so weitreichenderen Zugriff auf Geräte und persönliche Daten verschaffen. Nickt ein Opfer dieses Berechtigungen ab, landet es ohne Verdacht zu schöpfen in der legitimen App. Vorstellbar ist auch das Einblenden von gefälschten Login-Formularen, um Passwörter abzugreifen.

Ansatzpunkt

Aufgrund der Schwachstelle könnten sich Angreifer in die Android-Funktion zur Aufgabenverwaltung startActivities(Intent[]) einklinken. Anschließend könnten sie Schadcode in neu erstellte Aufgaben injizieren, in denen sich parallel der Code der legitimen App befindet. Als Ergebnis läuft die Aufgabe mit den Rechten der legitimen App, im Hintergrund arbeitet aber der Schadcode. Weitere Details zum Angriff führen die Sicherheitsforscher in einem auf einer Website zur Lücke angebotenen Report aus.

Eine ähnliche Attacke entdeckten die Sicherheitsforscher bereits Ende 2019. Der StrandHogg genannte Fehler findet sich im Multitaskingsystem von Android. Wie bereits der Name vermuten lässt, ist StrandHogg 2.0 der verbesserte Nachfolger. So können Angreifer nun mehrere Apps simultan attackieren.

Außerdem soll die weiterentwickelte Malware verdeckter arbeiten und weniger Spuren hinterlassen. Dementsprechend hat es Antiviren-Software schwerer, sich dazwischenzuschalten. (des)