Mobile Ad Bibliothek für Android birgt ernsthafte Gefahr

IT-Sicherheitsexperten haben herausgefunden, dass eine populäre Bibliothek mobiler Werbung für Android, verfügbar bei Google Play, zum Sammeln von Informationen über das Gerät oder zum Ausführen von schädlichem Code missbraucht werden kann.

Die Spezialisten von FireEye beunruhigt dabei am stärksten, dass etwa 2% der Android-Apps mit mehr als einer Millionen Downloads bei Google Play diese Bibliothek benutzen und diese Anwendungen insgesamt mehr als 200 Millionen Mal heruntergeladen wurden.

Die Forscher geben den Namen der Bibliothek nicht preis, bestätigten aber, dass sie sowohl ihren Lieferanten als auch Google informiert haben und beide Organisationen derzeit mit der Lösung des Problems beschäftigt seien.

Bibliotheken mobiler Ads ermöglichen es Anwendungen, Werbebanner anzuzeigen, und sie beschränken sich normalerweise auf das Registrieren der IMEI und IMSI des Gerätes. Doch diese Bibliothek, der die Experten von FireEye den Arbeitsnamen Vulna gegeben haben, kann wesentlich weiter reichende Aktionen durchführen: Sie ist in der Lage, auf dem Gerät willkürlichen Code auszuführen und Textnachrichten, Kontaktdaten und Anrufprotokolle abzugreifen.

„In Vulna gibt es [auch] verschiedene Sicherheitslücken“, teilen die Spezialisten von FireEye mit. „Diese Schwachstellen ermöglichen es Cyberkriminellen, die gefährliche Funktionalität von Vulna zur Durchführung schädlicher Aktivität zu verwenden, wie etwa das Aktivieren der Kamera und das Aufnehmen von Bildern ohne Wissen des Anwenders, den Diebstahl von zwei-Faktoren-Authentifizierungstoken, die via SMS versendet werden, oder den Anschluss des Gerätes an ein Botnetz.“

Eine der von FireEye entdeckten Sicherheitslücken besteht in der Weitergabe von privaten Informationen des Anwenders im Plain-Text-Format via http, was den Cyberkriminellen ermöglicht, sie zu lesen. Die Bibliothek verwendet HTTP zudem zum Empfang von Befehlen von seinem Steuerungsserver. „Ein Cyberkrimineller kann Vulna in ein Botnetz verwandeln, indem er ihren HTTP-Traffic abfängt und schädliche Befehle und Code versendet.“, erklären die Ermittler.

Zudem gibt es noch eine Java-Sicherheitslücke in der Benutzungsmethode von WebView, die es einem Cyberkriminellen ermöglicht, schädliche Java-Skripte auszuführen. Alle diese Möglichkeiten bieten einem Online-Gangster – in Kombination mit den von dieser Bibliothek angefragten Vollmachten (wie etwa Kontrolle über die Kamera oder Zugriff auf SMS) – eine ganze Auswahl an kriminellen Möglichkeiten: das Durchführen einer Phishing-Attacke, den Diebstahl von Geld mit Hilfe von Anrufen und SMS an Premium-Nummern oder das Abgreifen von persönlichen Anwenderdaten, wie etwa Fotografien, Passwörter und Website-Verlauf.

Die Experten teilen mit, dass diese Bibliothek eine Vielzahl von Gefahren für das mobile Gerät mit sich bringt, inklusive einer Man-in-the-Middle-Attacke über öffentliche Wi-Fi-Zugriffspunkte. Selbst eine DNS_Hijacking-Attacke ist möglich, wobei der mobile Browser des Gerätes auf einen Server umgeleitet wird, den die Cyberkriminellen kontrollieren.

Erschwerend kommt hinzu, dass die Aktivität der Bibliothek schwer zu verfolgen ist, da die Befehle, die sie vom Steuerungsserver erhält, nicht in ihrem Körper codiert sind, sondern in den Feldern des Headers des HTTP-Pakets. Ihr Quellcode ist äußerst verschleiert, was eine Verhaltensanalyse der Bibliothek nach Angaben der Experten sehr erschwert.

„In einem populären Spiel wird Vulna beispielsweise nur in ganz bestimmten Augenblicken gestartet, z.B. wenn ein bestimmtes Level erreicht wird.“, erklären die Ermittler und fügen hinzu, dass jegliche schädliche Aktivität im Hintergrundmodus abläuft, so dass der Anwender davon keine Kenntnis nimmt.

FireEye warnt, dass schädliche Werbe-Bibliotheken wie Vulna insbesondere für Unternehmen eine große Gefahr darstellen, die es ihren Mitarbeitern erlauben, die Netzressourcen über ihre privaten Geräte zu nutzen.

„Diese Werbe-Bibliotheken verhalten sich beim Sammeln von wichtigen Anwenderdaten auffallend aggressiv und bergen Möglichkeiten zur Ausführung von gefährlichen Aktionen. Sie enthalten zudem Sicherheitslücken verschiedener Klassen, die es Cyberkriminellen erlauben, ihr aggressives Verhalten zum Schaden des Anwenders einzusetzen.“, heißt es bei FireEye. „Die Entwickler von Anwendungen, die Dritt-Bibliotheken dieser Art nutzen, ahnen meist nichts von den Sicherheitsproblemen, die diese mit sich bringen.“

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.