Lücke in Android 4.1 – 4.4 ermöglicht Anrufe durch Apps ohne Berechtigung

Curesec, eine Sicherheitsfirma aus Berlin hat bereits Ende 2013 eine Lücke in den Berechtigungen von Android entdeckt, die es erlaubt, dass Anrufe auch ohne entsprechende Berechtigung einer App getätigt werden können. So wäre laut Curesec eine Rufumleitung, das Anrufen beliebiger Nummern, sowie die Ausführung von USSD-Codes möglich. Betroffen sind die Android-Version neuer als 4.1, in Android 4.4.4 ist die Lücke hingegen nicht mehr vorhanden.

Android_Phone_Bug

Wer selbst testen möchte, ob das eigene Android-Smartphone von dieser Lücke betroffen ist, kann sich bei Curesec eine Test-App herunterladen (Direktlink APK). Die kleine APK kann Anrufe auslösen, wenn das Gerät durch diese Lücke ausnutzbar ist. Ohne Berechtigung dazu versteht sich.

Bösewichte könnten mit dieser Lücke leichtes Spiel haben, da sie die komplette Kontrolle über das Telefonverhalten des Smartphones erreichen können. Da die Lücke in Android 4.4.4 nicht mehr vorhanden ist, bleibt abzuwarten, ob diese vielleicht auch über die Security-Patch-Funktion der neuen Google Play Services gestopft werden kann. Wenn nicht, kann das für viele Android Nutzer durchaus bedenklich sein.

Weitere Informationen zu dieser Lücke – für die Menschen, die sich für die technischen Details interessieren – findet Ihr im Blog-Eintrag von Curesec.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.

  2. HTC One / Android 4.4.3 = egal welchen Button ich drücke, nichts passiert, also würde ich mal sagen nicht betroffen ^^

  3. @Dave
    Gleiches beim S4 mit 4.4.2.
    Ich vermute mal dass sich obige Angaben nur auf das nackte Android oder die Google Experience beziehen. Da HTC, Samsung & Co auch eigene Sicherheitsfeatures integrieren sagen Versionsnummern eigentlich nichts aus bzw sind nicht wirklich vergleichbar.

  4. Hab es gerade mal mit meinem Samsung Note 3 ausprobiert. Test Call SDK 17 löst sofort einen Anruf aus. Note 3 also definitiv von der Lücke betroffen.

  5. Wolfgang D. says:

    Vermutlich dienen solche undifferenzierten Nachrichten von „Sicherheitsfirmen“ nur der Verbreitung des Gefühls, Android sei unsicher. Kommt alle heim zu IOS und Windows Phone, hinter dem Zaun seid ihr wohlbehütet.

    Mal sehen, ob es der Hype mal wieder bis in die Glotze schafft, und ich morgen von ständigen Anfragen zu angeblich nötigen Sicherheitsprogrammen genervt werde.

  6. Plastefuchs says:

    „Anstatt nun überall diese Lücke zu verbreiten, hätte man es auch einfach reporten und dann still sein können. Jetzt werden böswillige App Entwickler doch erst recht versuchen das umzusetzen.“

    Phil, so funktioniert das aber leider nicht.
    Wenn die Bude die die Lücke gefunden hat richtig arbeitet weiß Google schon lange davon und ist dabei einen Fix zu bauen. Oder diese breitere Veröffentlichung soll Google dazu zwingen mal etwas schneller einen Patch zu stricken.

  7. Sehe ich auch so die Lücke sollte einfach gepatcht werden und gut so ganz kapier ich das eh nocht windows wird doch auch 10 Jahre supportet

  8. @Jack
    Für Windows bezahlt man üblicherweise auch Geld.

  9. Für mein Handy überlicherweise auch…. wenn die Treiber wenigstens opensource oder für jede neue version bereit gestellt würden, wäre das auch kein Problem

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.