Was wir am Handybildschirm sehen, muss nicht immer das sein, was wir tatsächlich bedienen. Das zeigt ein Forschungsteam der TU Wien, bestehend aus Philipp Beer, Sebastian Roth, Marco Squarcina, und Martina Lindorfer: Bei Android-Handys kann eine unsichtbare App im Vordergrund aktiv sein – und genau das ist ein Sicherheitsproblem. Als User bedient man dann eine App, die man gar nicht sieht, und kann auf diese Weise dazu gebracht werden, ungewollte Aktionen zu setzen – etwa einer böswilligen App bestimmte Rechte zu übertragen, oder sogar Daten zu löschen.
Mit dem Sicherheitsteam von Android ist die TU-Forschungsgruppe bereits in Kontakt. Die neu entdeckte Sicherheitslücke wird nun bei der weltweit führenden Sicherheitskonferenz USENIX in Seattle (USA) präsentiert.
Harmloses Spiel mit bösen Folgen
Auf einem Smartphone können mehrere Apps gleichzeitig aktiv sein. Normalerweise ist eine davon im Vordergrund sichtbar, mit ihr interagiert man, wenn man den Bildschirm antippt. „Apps können allerdings auch andere Apps starten und dabei Animationen nutzen, etwa ein langsames Einblenden oder Hereingleiten“, erklärt Beer von der Security and Privacy Group der TU Wien (Institut für Logic and Computation). „Genau das kann man missbrauchen.“
Eine betrügerische App kann unbemerkt eine andere App starten, sie aber transparent anzeigen. Sie befindet sich nun somit im Vordergrund und kann mit Fingertippen gesteuert werden – aber man sieht sie nicht.
„Wir haben das ausprobiert, indem wir ein simples Spiel erstellt haben, bei dem man Punkte sammelt, indem man auf dem Bildschirm kleine Käfer antippt“, berichtet Beer. „Das Spiel öffnet dann aber eine andere App, zum Beispiel einen Browser. Wir können nun nach Belieben unsere Käfer aus dem Spiel so platzieren, dass genau die Position am Bildschirm angetippt wird, die wir wollen. Man hat das Gefühl, immer noch das Käfer-Spiel zu spielen, aber in Wahrheit bedient man nun die neu gestartete App, die man gar nicht sieht.“
Das Forschungsteam ließ das Käfer-Spiel von zwanzig Versuchspersonen testen, und tatsächlich gelang es auf diese Weise, unbemerkt an verschiedene Berechtigungen zu kommen – etwa Zugriff auf die Kamera des Smartphones zu erhalten. „Theoretisch könnte man auf diese Weise auch eine Banking-App starten, oder auch alle Daten auf dem Handy löschen“, sagt Beer.
Bisher keine Übeltäter
Das Team der TU Wien bewies damit also, dass die Attacke funktioniert. Aber wird sie tatsächlich verwendet? „Wir haben rund 100.000 Apps aus dem Play Store untersucht und dabei keine gefunden, die diese Lücke ausnützt“, sagt Beer. „Wir hoffen daher, dass die Lücke bisher noch keinen echten Schaden angerichtet hat – aber natürlich muss das Problem behoben werden.“
Das Team setzte sich daher bereits mit dem Android-Entwicklungsteam in Verbindung, technisch wäre es möglich, die Lücke zu schließen. Die Hersteller von Firefox und Google Chrome wurden ebenfalls kontaktiert – beide haben die Lücke für ihre Browser bereits geschlossen. Auch GrapheneOS, ein Android-basiertes Betriebssystem, das speziell auf Maximierung der Sicherheit ausgelegt ist, hat das Problem bereits gelöst.
„Prinzipiell sollte man nie Apps installieren, deren Herkunft nicht vertrauenswürdig erscheint“, sagt Beer. „Wenn auf die Kamera oder das Mikrophon zugegriffen wird, ist das oft auch an Symbolen in der Statusleiste sichtbar, darauf sollte man achten.“ Wer ganz sicher gehen will, kann App-Animationen überhaupt deaktivieren (in den Einstellungen unter „Bedienungshilfen“, „Farbe und Bewegung“).
