Lücke in Android 4.1 – 4.4 ermöglicht Anrufe durch Apps ohne Berechtigung
Curesec, eine Sicherheitsfirma aus Berlin hat bereits Ende 2013 eine Lücke in den Berechtigungen von Android entdeckt, die es erlaubt, dass Anrufe auch ohne entsprechende Berechtigung einer App getätigt werden können. So wäre laut Curesec eine Rufumleitung, das Anrufen beliebiger Nummern, sowie die Ausführung von USSD-Codes möglich. Betroffen sind die Android-Version neuer als 4.1, in Android 4.4.4 ist die Lücke hingegen nicht mehr vorhanden.
Wer selbst testen möchte, ob das eigene Android-Smartphone von dieser Lücke betroffen ist, kann sich bei Curesec eine Test-App herunterladen (Direktlink APK). Die kleine APK kann Anrufe auslösen, wenn das Gerät durch diese Lücke ausnutzbar ist. Ohne Berechtigung dazu versteht sich.
Bösewichte könnten mit dieser Lücke leichtes Spiel haben, da sie die komplette Kontrolle über das Telefonverhalten des Smartphones erreichen können. Da die Lücke in Android 4.4.4 nicht mehr vorhanden ist, bleibt abzuwarten, ob diese vielleicht auch über die Security-Patch-Funktion der neuen Google Play Services gestopft werden kann. Wenn nicht, kann das für viele Android Nutzer durchaus bedenklich sein.
Weitere Informationen zu dieser Lücke – für die Menschen, die sich für die technischen Details interessieren – findet Ihr im Blog-Eintrag von Curesec.
Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.
HTC One / Android 4.4.3 = egal welchen Button ich drücke, nichts passiert, also würde ich mal sagen nicht betroffen ^^
@Dave
Gleiches beim S4 mit 4.4.2.
Ich vermute mal dass sich obige Angaben nur auf das nackte Android oder die Google Experience beziehen. Da HTC, Samsung & Co auch eigene Sicherheitsfeatures integrieren sagen Versionsnummern eigentlich nichts aus bzw sind nicht wirklich vergleichbar.
Hab es gerade mal mit meinem Samsung Note 3 ausprobiert. Test Call SDK 17 löst sofort einen Anruf aus. Note 3 also definitiv von der Lücke betroffen.
Vermutlich dienen solche undifferenzierten Nachrichten von „Sicherheitsfirmen“ nur der Verbreitung des Gefühls, Android sei unsicher. Kommt alle heim zu IOS und Windows Phone, hinter dem Zaun seid ihr wohlbehütet.
Mal sehen, ob es der Hype mal wieder bis in die Glotze schafft, und ich morgen von ständigen Anfragen zu angeblich nötigen Sicherheitsprogrammen genervt werde.
„Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.“
Phil, so funktioniert das aber leider nicht.
Wenn die Bude die die Lücke gefunden hat richtig arbeitet weiß Google schon lange davon und ist dabei einen Fix zu bauen. Oder diese breitere Veröffentlichung soll Google dazu zwingen mal etwas schneller einen Patch zu stricken.
Sehe ich auch so die Lücke sollte einfach gepatcht werden und gut so ganz kapier ich das eh nocht windows wird doch auch 10 Jahre supportet
@Jack
Für Windows bezahlt man üblicherweise auch Geld.
Für mein Handy überlicherweise auch…. wenn die Treiber wenigstens opensource oder für jede neue version bereit gestellt würden, wäre das auch kein Problem