Google genehmigt eine App, die alle Ihre Daten stiehlt





Googles automatisierter Bouncer für Apps, der verhindern soll, dass schädliche mobile Software im App Store des Unternehmens auftaucht, scheint gravierende blinde Flecken zu haben. Das System hat wiederholt gescannt, aber eine App passieren lassen, die heimlich persönliche Daten wie Fotos und Kontakte stiehlt, berichteten zwei Forscher des Computersicherheitsunternehmens Trustwave an der Schwarzer Hut Sicherheitskonferenz gestern in Las Vegas.

Nicolas Percoco und Sean Schulte sind Mitglieder der Ethical Hacking Research Group von Trustwave, bekannt als SpiderLabs , und sie erstellten die App, um die Fähigkeit von Google zu prüfen, die in seinen App Store hochgeladene Software zu überprüfen. Das Paar sagte, die Ergebnisse zeigten, dass Google sowohl sein App-Scansystem als auch sein Android-Betriebssystem verbessern muss.

Da immer mehr Menschen Desktop- und Laptop-Computer gegen Smartphones und Tablets eintauschen, wird die mobile Sicherheit immer wichtiger. Viele Benutzer verhalten sich auch so, als ob alles, was sie aus einem App Store herunterladen, sicher ist.



Der Stunt ist für Google peinlich, was gab die Existenz des Türstehers bekannt Sicherheitssystem, das im Februar dieses Jahres Apps im App-Store des Unternehmens scannt und seinerzeit seit Ende 2011 erfolgreich im Einsatz ist (siehe Angriffe auf Android Intensify). Im Juni dieses Jahres haben zwei Forscher eines anderen Sicherheitsunternehmens, Duo Security, Bouncer selbst angegriffen , mit Details zur Funktionsweise.

Percoco und Schulte wollten mehr zeigen, wie Kriminelle, die mit schlechten Apps Geld verdienen wollen, das Bouncer-System umgehen können. Sie luden eine harmlose App in den App Store von Google hoch und aktualisierten sie dann sukzessive, um immer schlimmer zu werden, um zu sehen, wie weit sie gehen konnten, bevor Bouncer in Aktion trat.

Die ursprüngliche App namens SMS Bloxor blockierte einfach Textnachrichten von bestimmten Nummern. Die SMS-Blockierung wurde gewählt, weil die Forscher Benutzer davon abhalten wollten, die App herunterzuladen. Andere Apps – von denen viele kostenlos sind – bieten bereits die gleiche Funktionalität, und SMS Bloxor kostete 49,95 US-Dollar. Wir wollten nicht, dass 5.000 Benutzer unsere bösartige App herunterladen, sagte Percoco. Ich bin der einzige, der es gekauft hat.



Die erste Version hatte eine einfache eingebaute Telefon-Home-Funktion, damit die Forscher wissen, ob Bouncer die App getestet hat. Google hat keine technischen Details zu Bouncer veröffentlicht, aber gesagt, dass es Apps testet, indem es ihren Code scannt und sie in einem simulierten Telefon ausführt, um zu sehen, was sie tun. Dazu muss einer App Internetzugang gewährt werden. Als SMS Bloxor einige Minuten nach dem Hochladen in den Google Play Store zu Hause anrief, war klar, dass Bouncer sie gescannt hatte. Die App erschien dann im Google Play App Store und konnte von jedem heruntergeladen werden.

Die Forscher reichten dann sieben aktualisierte Versionen ein, von denen jede weitere schädliche Funktionen hinzufügte. Die erste war in der Lage, heimlich die Kontakte einer Person an die Ersteller der App zu senden. Die folgenden Versionen könnten Textnachrichten stehlen, Identifizierungsinformationen eines Telefons kopieren, Fotos stehlen, Anrufaufzeichnungen stehlen, den Bildschirm entführen und schließlich eine Internetadresse angreifen, indem sie mit Datenanforderungen überflutet werden, eine Taktik, die Websites zerstören kann, wenn viele infiziert sind Computer arbeiten zusammen, was als Distributed Denial of Service (DDoS)-Angriff bekannt ist.

Wir haben irgendwie erwartet, dass uns einer dieser Schritte, wie Spoof-Screen oder DDoS, erwischen würde. Und das ist nicht der Fall, sagte Schulte. Bouncer hat die aktualisierten Versionen der App gescannt und ausgeführt, aber immer passieren lassen. Das lag wahrscheinlich daran, dass Bouncer die App nie von ihrer schlimmsten Seite gesehen hat. Obwohl die gescannten Versionen den gesamten Code enthielten, der für schlechte Dinge erforderlich war, warteten die Forscher, bis sie an Bouncer vorbeigekommen waren, um der App die letzten Anweisungen zu senden, die sie benötigte, um bösartige Aktivitäten zu aktivieren.



SMS Bloxor wurde schließlich aus dem Store genommen, nachdem die Forscher eine Version hochgeladen hatten, die kontinuierlich alle Daten von einem Gerät an die Ersteller der App zurücksendete, ohne jemals anzuhalten. Eine automatisierte E-Mail informierte Percoco darüber, dass sein Entwicklerkonto gesperrt und das Experiment beendet wurde. Es wurde keine Warnung an die Person gesendet, die die App bezahlt und heruntergeladen hatte – Percoco selbst.

Die beiden informierten Google im Vorfeld ihrer Präsentation am gestrigen Nachmittag über das Experiment und trafen sich unmittelbar danach mit Vertretern des Unternehmens, um ihre Ergebnisse zu besprechen.

Percoco schlug vor, dass Google die Reichweite von Bouncer erweitern und es zu einem Feature jedes Android-Handys machen könnte, mit dem es das Verhalten einer App nach der Installation überprüfen könnte. Percoco sagte auch, dass Google die Funktion überdenken sollte, die es ermöglicht, neuen Code stillschweigend an Apps zu senden, nachdem sie auf Google Play hochgeladen wurden.



Google und andere App-Store-Anbieter haben solche Stores zunächst eher mit Blick auf ein Geschäftsmodell als auf Sicherheit konzipiert, da sich der Wettbewerb um die Ausnutzung des Booms bei mobilen Geräten verschärfte. Die große Zahl der derzeit im Umlauf befindlichen Geräte und ihre intime Rolle im Leben der Menschen haben jedoch viele Sicherheitsexperten davon überzeugt, dass App-Stores bald erheblichen kriminellen Bemühungen ausgesetzt sein werden. Google berichtete letzten Monat, dass mehr als 400 Millionen Android-Geräte seit ihrer erstmaligen Verfügbarkeit im Jahr 2008 aktiviert wurden (siehe Android Has Arrived ), und dass täglich eine Million weitere aktiviert werden.

Percoco sagte, dass Google und andere bisher Glück hatten und noch Zeit haben, der kommenden Welle voraus zu sein. Derzeit bestehen die meisten Beispiele für mobile Malware aus gezielten Angriffen gegen Einzelpersonen wie CEOs, die möglicherweise Zugriff auf wertvolle Unternehmensdaten haben. Um die Ecke wird eine weit verbreitete Katastrophe passieren, die Zehntausende oder Millionen von Benutzern treffen könnte.

verbergen