Lücke in Android 4.1 – 4.4 ermöglicht Anrufe durch Apps ohne Berechtigung

Curesec, eine Sicherheitsfirma aus Berlin hat bereits Ende 2013 eine Lücke in den Berechtigungen von Android entdeckt, die es erlaubt, dass Anrufe auch ohne entsprechende Berechtigung einer App getätigt werden können. So wäre laut Curesec eine Rufumleitung, das Anrufen beliebiger Nummern, sowie die Ausführung von USSD-Codes möglich. Betroffen sind die Android-Version neuer als 4.1, in Android 4.4.4 ist die Lücke hingegen nicht mehr vorhanden.

Android_Phone_Bug

Wer selbst testen möchte, ob das eigene Android-Smartphone von dieser Lücke betroffen ist, kann sich bei Curesec eine Test-App herunterladen (Direktlink APK). Die kleine APK kann Anrufe auslösen, wenn das Gerät durch diese Lücke ausnutzbar ist. Ohne Berechtigung dazu versteht sich.

Bösewichte könnten mit dieser Lücke leichtes Spiel haben, da sie die komplette Kontrolle über das Telefonverhalten des Smartphones erreichen können. Da die Lücke in Android 4.4.4 nicht mehr vorhanden ist, bleibt abzuwarten, ob diese vielleicht auch über die Security-Patch-Funktion der neuen Google Play Services gestopft werden kann. Wenn nicht, kann das für viele Android Nutzer durchaus bedenklich sein.

Weitere Informationen zu dieser Lücke – für die Menschen, die sich für die technischen Details interessieren – findet Ihr im Blog-Eintrag von Curesec.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.

  2. HTC One / Android 4.4.3 = egal welchen Button ich drücke, nichts passiert, also würde ich mal sagen nicht betroffen ^^

  3. @Dave
    Gleiches beim S4 mit 4.4.2.
    Ich vermute mal dass sich obige Angaben nur auf das nackte Android oder die Google Experience beziehen. Da HTC, Samsung & Co auch eigene Sicherheitsfeatures integrieren sagen Versionsnummern eigentlich nichts aus bzw sind nicht wirklich vergleichbar.

  4. Hab es gerade mal mit meinem Samsung Note 3 ausprobiert. Test Call SDK 17 löst sofort einen Anruf aus. Note 3 also definitiv von der Lücke betroffen.

  5. Wolfgang D. says:

    Vermutlich dienen solche undifferenzierten Nachrichten von „Sicherheitsfirmen“ nur der Verbreitung des Gefühls, Android sei unsicher. Kommt alle heim zu IOS und Windows Phone, hinter dem Zaun seid ihr wohlbehütet.

    Mal sehen, ob es der Hype mal wieder bis in die Glotze schafft, und ich morgen von ständigen Anfragen zu angeblich nötigen Sicherheitsprogrammen genervt werde.

  6. Plastefuchs says:

    „Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.“

    Phil, so funktioniert das aber leider nicht.
    Wenn die Bude die die Lücke gefunden hat richtig arbeitet weiß Google schon lange davon und ist dabei einen Fix zu bauen. Oder diese breitere Veröffentlichung soll Google dazu zwingen mal etwas schneller einen Patch zu stricken.

  7. Sehe ich auch so die Lücke sollte einfach gepatcht werden und gut so ganz kapier ich das eh nocht windows wird doch auch 10 Jahre supportet

  8. @Jack
    Für Windows bezahlt man üblicherweise auch Geld.

  9. Für mein Handy überlicherweise auch…. wenn die Treiber wenigstens opensource oder für jede neue version bereit gestellt würden, wäre das auch kein Problem

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.