Trend Micro meldet: Malware-verbreitende Apps mit Zugriff auf Eingabehilfen trieben im Play Store ihr Unwesen
von Benjamin Mamerow | 6 Kommentare
Gerade erst erfuhren wir noch, dass diverse App-Entwickler von unter anderem auch sehr namhaften Apps aktuell von Google per Mail kontaktiert werden, ihre App-Berechtigungen zu überprüfen, da scheint es auch schon einen ersten vermeintlichen Grund für diese Handlungsweise seitens Google zu geben. Die Entwickler sollten prüfen, ob ihre Apps tatsächlich die Berechtigung für Androids Eingabehilfen dazu einsetzen, um körperlich eingeschränkten Menschen bei der Bedienung zu helfen. Wäre das nicht der Fall und es wird nicht nachgebessert, drohe der Kick aus dem Play Store.
Scharfe Ansage, allerdings auch in gewisser Hinsicht nachvollziehbar. Schließlich kann diese Berechtigung im schlimmsten Fall für ein fieses Hintertürchen sorgen, wie der nun aufgedeckte Fall beweist. Laut dem Sicherheits-Unternehmen Trend Micro stieß man auf diverse Apps im Google Play Store, die sich per Overlay-Angriff Zugriff auf eben jene Eingabehilfen gewähren ließen und anschließend Sicherheits-Software auf den Geräten deaktivierten und eine weitere App mit Malware heruntergeladen haben.
Bei einem Overlay-Angriff verdeckt quasi – wie in diesem Falle – eine Fullscreen-Anzeige das eigentliche Geschehen im Hintergrund. Der Nutzer bekommt im „besten Falle“ überhaupt nicht mit, dass da etwas passiert und wiegt sich bei dem dargestellten Bild in Sicherheit, die korrekte App auszuführen. Selbst Nutzereingaben können erzwungen werden, indem zu drückende Buttons einfach mit falschen Bildern überdeckt werden. Die Apps beinhalteten allesamt „Smart AppLocker“ im Titel und sollten angeblich dafür sorgen, dass Apps nicht mehr ohne Pin-Eingabe des Nutzers ausgeführt werden könnten. Rund 500.000 Installationen konnten die inzwischen entfernten Apps vorweisen.
Laut Trend Micro beinhalten die aktuellsten AOSP-Versionen von Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 und 7.1.2 bereits den nötigen Patch gegen die Lücke. Android-Nutzer werden dazu angehalten, mal in ihren Einstellungen zu prüfen, welche Apps bei ihnen aktuell auf die Eingabehilfen zugreifen können und ob sie diesen trauen.
Wird geladen ...
wer kann mir sagen wo ich diese Eingabehilfe finde?
@lin: Schau mal in den Einstellungen deines Android-Smartphones nach dem Punkt „Bedienungshilfen“, da solltest du fündig werden
@lin
Zur Trend Micro Aussage: „Android-Nutzer werden dazu angehalten, mal in ihren Einstellungen zu prüfen, welche Apps bei ihnen aktuell auf die Eingabehilfen zugreifen können und ob sie diesen trauen“ wünsche ich mir als 75-jähriger Leser dieses Blogs, dass gesagt wird, wie man das tut:
Marshmallow: Einstellungen >Apps >Zahnrad >Über anderen Apps einblenden >von ‚Aktiviert‘ auf ‚Apps mit Berechtigung‘ wechseln >checken.
ich habe jetzt nur noch Blitzer.de + Drupe berechtigt.
Android 7.0 = Einstellungen > APPS > 3Punkte > Spezieller Zugriff > Apps, die über anderern erscheinen.
„“[Bei einem Overlay-Angriff verdeckt quasi – wie in diesem Falle – eine Fullscreen-Anzeige das eigentliche Geschehen im Hintergrund]““
ich denke das ist die Einstellung die Daktiviert werde muss.
hier noch mal als Vidio (gif)
https://1drv.ms/i/s!Ar-qwt5grLjFguFIhKP2hj3GmLYieg
@lingruber@gmx.de
Unter 6.0.1 gibt’s in der Rubrik ‚Über anderen Apps einblenden‘ 3 Unterkategorien:
1 Aktiviert
2 Deaktiviert
3 Apps mit Berechtigung
DEaktivieren kann man in 1 und 3.
Nach MEINER Erfahrung – mit dem misslichen Umstand, dass man bisweilen vor der Aktivierung einer neuen App zunächst diese Overlay Geschichte deaktivieren muss und es für mich anfänglich sehr schwierig war, herauszufinden, was man denn wo tun muss – ist aber 3 das Wesentliche. Das könnte natürlich mit der Schwachstelle, um die es hier geht, ganz anders sein.
Unter 1 sind sämtliche Apps aufgeführt und die Einordnung zwischen Aktiviert und Deaktiviert ist nach meiner Erfahrung keineswegs immer zutreffend. ich hatte ja geschrieben, dass unter drei bei mir nur zwei Apps aktiviert sind. Unter 1 sind es massenhaft viele – vielleicht ist damit aber nur gesagt, dass diese vielen dazu aktiviert werden können.
Unter AKTIVIERT stehen bei mir 34 Apps mit JA:
Android System WebView
Chrome
CQATest
Docs
Downloads
Einstellungen
Galerie
Gboard
Gmail
Google
Google Drive
Google Japanese Input
Google Now Launcher
Google Play Store
Google Text-in-Sprache
Google-Eingabe für Hindi
Google-Eingabe für Koreanisch
Google-Eingabe für Pinyin
Kalender
Kamera
Kontakte
Maps
Moto
Moto Infos
Motorola-Benachrichtigungen
NativeDropBoxAgent
Notfallbenachrichtigungen
Präsentationen
Radio
SIM-Toolkit
SMS/MMS
Tabellen
Telefon
Uhr
Sorry, Blitzer.de und Drupe gehören natürlich auch dazu, die habe ich hier weggelassen.