Google ist gefordert.Die «Bouncer» genannte Sicherheitsüberprüfung im Google Play Store lässt sich leicht austricksen. Vor einigen Tagen verrieten Hacker auf einer Konferenz, wie es möglich ist, bösartigen Code in den Android-Appstore zu schmuggeln.
«Gute» App wird später mit Schadcode angereichert
Die Experten luden eine «gute» App in den Play Store hoch, die alle Sicherheitsprüfungen bestand. Das «SMS Bloxor» genannte Programm sollte der Filterung ankommender SMS dienen, hatte aber lediglich den Zweck, den Bouncer zu testen. Mit einem Preis von 50 Dollar bestand kaum Gefahr, dass ein Anwender die App aus Versehen kaufte. Nachdem die App erst einmal im Play Store angekommen war, luden die Entwickler über Javascript-Bridge-Updates nach und nach Schadcode in das Programm. Bei diesem Verfahren muss die App selbst nicht neu installiert werden. Anschliessend ermittelten die Experten den IP-Adressenbereich des Bouncers und liessen die App den Schadcode nur ausserhalb dieser «Überwachungszone» ausführen.
Danach wollten die Hacker wissen, wann der Wachhund endlich anschlagen würde. Ein Ausschalten der IP-Sperre bewirkte noch keine Änderung - der Schadcode liess sich problemlos weiter ausführen. Danach begann die App damit, Fotos und die Telefon-ID auszulesen und die Liste der Anrufer zu kopieren. Schliesslich liessen die Experten die App im Sekundentakt eine Kopie des Adressbuchs an einen externen Server schicken. Erst dann blockierte Bouncer den Entwickleraccount und entfernte die App aus dem Play Store.
Für die Lösung des Problems gibt es nach Auffassung der Sicherheitsexperten zwei Möglichkeiten. Auf der einen Seite könnte Google das interne Update-Verfahren über die Javascript-Bridge abstellen - damit wäre bei jeder Code-Änderung ein kompletter Neu-Upload in den Appstore notwendig. Andererseits könnte man die Sicherheitsprüfung auf das Smartphone des Nutzers verlagern - dazu müsste der Bouncer eine feste Systemkomponente von Android werden. Auf jeden Fall besteht für Google nun Handlungsbedarf.
16:23
E-Bike im Onlineshop kaufen: Darauf muss man achten15:45
Virtual reality: Der VR-Handschuh aus dem 3D-Drucker00:53
Next-Gen-Gaming mit der PS5 Konsole18:59
Ein Drohnenschwarm für Bauarbeiten und Reparaturen18:49
Mehr Sicherheit in elektronischen Fahrzeugsystemen19:11
Eine Drohne, die fliegt und taucht16:52
Abhörgeschütztes Quanten-Netzwerk entwickelt15:57
«Nacht-Solartechnik» kann jetzt auch im Dunkeln Strom liefern20:48
Drohnen, Sensoren und Schwerelosigkeit00:31
Faltbare Drohne kann 15 Kilogramm transportieren
 |
|||||
| Heute | Di | Mi | |||
| Zürich | 1°C | 5°C |
|
|
|
| Basel | 3°C | 6°C |
|
|
|
| St. Gallen | 2°C | 3°C |
|
|
|
| Bern | 3°C | 5°C |
|
|
|
| Luzern | 3°C | 5°C |
|
|
|
| Genf | 1°C | 6°C |
|
|
|
| Lugano | 7°C | 8°C |
|
|
|
| mehr Wetter von über 8 Millionen Orten | |||||
1°C / 5°C 
3°C / 6°C 
2°C / 3°C 
3°C / 5°C 
1°C / 6°C 
7°C / 8°C 
