Gelöschter Account
- Forum-Beiträge: 7.924
07.02.2011, 14:23:46 via Website
07.02.2011 14:23:46 via Website
Android Market: Risiko durch Ferninstallation
Quelle: Heise
The dark side of the new Android Market
Quelle: www.securelist.com
Googles Neugestaltung des Android Markets ermöglicht Android-Anwendern, den Download und die Installation von Apps direkt vom PC aus über den Webstore anzustoßen. Dafür ist nur der Login in das Google-Mail-Konto notwendig, mit dem das Android-Smartphone an den Market gekoppelt ist.
Das ist zwar praktisch, leider fragt das Smartphone aber nicht erneut um Erlaubnis, ob es die App installieren soll. Ein Angreifer könnte beispielsweise mit per Trojanern gestohlenen Google-Mail-Zugangsdaten eine zuvor selbst im Android Market platzierte App aus der Ferne auf einem Gerät installieren. Auf diese Weise könnte die Infektion des heimischen PCs mit einer Infektion des Smartphones einhergehen – Banking-Trojaner wie ZeuS bewerkstelligen dies bereits auf eine etwas andere Weise.
Die einzige Hürde einer erfolgreichen Infektion eines Android-Gerätes über den Market war im Test der heise-Security-Redaktion die Unfähigkeit von Android-Apps, sich nach der Installation selbst zu starten. Ein Angreifer könnte den Anwender aber dazu bringen, die App manuell zu starten, indem er eine Mail an ihn sendet, in der er die App besonders schmackthaft macht. Auf einen Hinweis wie "In Android 2.2 ist ein geheimer Level Angry Birds bereits vorinstalliert" könnten Anwender leicht hereinfallen.
Den einzigen Hinweis auf ungewollte Aktivitäten liefert Android in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren. Der AV-Hersteller Kaspersky kritisiert die Ferninstallation in seinem Blog und fordert eine Option im Smartphone, um diese Möglichkeit zu deaktivieren.
Im Vorfeld des am morgigen stattfindenden Safer Internet Day hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zunehmenden Angriffen auf Smartphones gewarnt. Behördenchef Michael Hange zeigte sich besorgt über das Risiko von Angriffen auf Handys, Smartphones und Tablet-Computer. "Mobile Geräte sind schon allein aufgrund ihrer zunehmenden Beliebtheit und Verbreitung für jeden Kriminellen ein attraktives Angriffsziel", erklärt der Experte für Computersicherheit. Gefährdet sei nicht nur die Vertraulichkeit von Telefongesprächen und Daten, sondern die ganze Palette von Anwendungen, angefangen beim Adressbuch über das Abhören von Raumgesprächen bis hin zur Positionsbestimmung des Nutzers.
Das ist zwar praktisch, leider fragt das Smartphone aber nicht erneut um Erlaubnis, ob es die App installieren soll. Ein Angreifer könnte beispielsweise mit per Trojanern gestohlenen Google-Mail-Zugangsdaten eine zuvor selbst im Android Market platzierte App aus der Ferne auf einem Gerät installieren. Auf diese Weise könnte die Infektion des heimischen PCs mit einer Infektion des Smartphones einhergehen – Banking-Trojaner wie ZeuS bewerkstelligen dies bereits auf eine etwas andere Weise.
Die einzige Hürde einer erfolgreichen Infektion eines Android-Gerätes über den Market war im Test der heise-Security-Redaktion die Unfähigkeit von Android-Apps, sich nach der Installation selbst zu starten. Ein Angreifer könnte den Anwender aber dazu bringen, die App manuell zu starten, indem er eine Mail an ihn sendet, in der er die App besonders schmackthaft macht. Auf einen Hinweis wie "In Android 2.2 ist ein geheimer Level Angry Birds bereits vorinstalliert" könnten Anwender leicht hereinfallen.
Den einzigen Hinweis auf ungewollte Aktivitäten liefert Android in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren. Der AV-Hersteller Kaspersky kritisiert die Ferninstallation in seinem Blog und fordert eine Option im Smartphone, um diese Möglichkeit zu deaktivieren.
Im Vorfeld des am morgigen stattfindenden Safer Internet Day hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zunehmenden Angriffen auf Smartphones gewarnt. Behördenchef Michael Hange zeigte sich besorgt über das Risiko von Angriffen auf Handys, Smartphones und Tablet-Computer. "Mobile Geräte sind schon allein aufgrund ihrer zunehmenden Beliebtheit und Verbreitung für jeden Kriminellen ein attraktives Angriffsziel", erklärt der Experte für Computersicherheit. Gefährdet sei nicht nur die Vertraulichkeit von Telefongesprächen und Daten, sondern die ganze Palette von Anwendungen, angefangen beim Adressbuch über das Abhören von Raumgesprächen bis hin zur Positionsbestimmung des Nutzers.
The dark side of the new Android Market
A new version of the Android Market has just been launched, making it possible for every device owner to look for applications, buy or even remotely install apps to an Android device directly from the browser on a desktop computer. Wait, remotely install? Have we misheard something?
No, it’s an official feature of the brand new market. If you use an Android device, it means that you have a GMail account associated with your device, and now you can remotely install any application from the Android store. You just need to:
log in to the market with your GMail account associated with your smartphone;
choose any application you would like to install;
click to the ‘Install’ link;
carefully read all the permissions required by the application;
click on the ‘Install’ link again.
If your smartphone is connected to the Internet, you will immediately notice that on the device’s screen an install is already taking place. Why is this problem? When installing apps via the market on your phone, you must agree to all the permissions being requested before the app will actually install on your phone. With this new incarnation of the Android Market, those permission are only displayed on the app page within the web interface of the Android Market. After agreeing to these permissions the app is installed without any notifications on your mobile device.
So what? Isn’t that convenient? Yes, for you and for anyone who may gain unauthorized access to your Gmail account. This would allow the attacker the ability to purchase and install any app available within the Android Market.
Apps within the Android Market feature a lot of options, many of which could be used maliciously by an unauthorized third party.
This is just one more reason to create strong passwords, and be ever vigilant about access to your accounts and devices.
We have reached out to Google to discuss this security risk.
We can’t seem to find a way to disable these remote installs from the browser. At the minimum, it’s important that Android users have the ability to turn off this feature.
No, it’s an official feature of the brand new market. If you use an Android device, it means that you have a GMail account associated with your device, and now you can remotely install any application from the Android store. You just need to:
log in to the market with your GMail account associated with your smartphone;
choose any application you would like to install;
click to the ‘Install’ link;
carefully read all the permissions required by the application;
click on the ‘Install’ link again.
If your smartphone is connected to the Internet, you will immediately notice that on the device’s screen an install is already taking place. Why is this problem? When installing apps via the market on your phone, you must agree to all the permissions being requested before the app will actually install on your phone. With this new incarnation of the Android Market, those permission are only displayed on the app page within the web interface of the Android Market. After agreeing to these permissions the app is installed without any notifications on your mobile device.
So what? Isn’t that convenient? Yes, for you and for anyone who may gain unauthorized access to your Gmail account. This would allow the attacker the ability to purchase and install any app available within the Android Market.
Apps within the Android Market feature a lot of options, many of which could be used maliciously by an unauthorized third party.
This is just one more reason to create strong passwords, and be ever vigilant about access to your accounts and devices.
We have reached out to Google to discuss this security risk.
We can’t seem to find a way to disable these remote installs from the browser. At the minimum, it’s important that Android users have the ability to turn off this feature.
Desire HD > Note 2 LTE > Moto G > OnePlus One [Cyanogen OS | CM11S | root]
und jetzt noch ein Nexus 10 [Android 5 | root]
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.