Sicherheitslücke

Wie Android-Nutzer in unsichtbare Falle tappen

Den Forschenden zufolge sind drei Viertel der Apps für die sogenannten TapTrap-Attacken anfällig.(Bild: Natee Meepian - stock.adobe.com)

Forschende der TU Wien haben eine Sicherheitslücke in Googles Android entdeckt. Demnach kann eine betrügerische App unter Ausnutzung von Übergangsanimationen gestartet werden und Nutzer dazu bringen, der Anwendung durch „Tapjacking“ bestimmte Rechte zu übertragen. Die bösartige App könnte dann etwa eine Bank-App starten, Kamera oder Mikro einschalten oder Daten löschen. 

In Smartphones oder Tablets können mehrere Apps gleichzeitig aktiv sein. Interagiert wird üblicherweise mit der im Vordergrund sichtbaren Anwendung. Apps können allerdings auch andere Apps starten. „Damit man das als User nicht mitbekommt, nutzt die bösartige App Animationen, etwa solche mit langer Dauer und hoher Transparenz“, erklärte Philipp Beer von der Security and Privacy Group der Technischen Universität Wien.

„Diese Animation macht dann beispielsweise eine Browser-App oder eine Berechtigungseinstellung komplett unsichtbar“, so Beer. Mit Fingertippen wird also die nun im Vordergrund befindliche unsichtbare App, etwa ein Browser, gesteuert.

Eine solche „TapTrap“ genannte Attacke „kann von einer bösartigen App verwendet werden, um das Berechtigungssystem von Android heimlich zu umgehen und Zugriff auf sensible Daten zu erhalten oder schädliche Aktionen auszuführen, wie zum Beispiel das Löschen von Daten ohne Zustimmung des Benutzers“, schreiben die Informatikerinnen und Informatiker in ihrer Arbeit, die sie Mitte August bei der Sicherheitskonferenz USENIX in Seattle präsentieren werden.

Statt Spiel wird unsichtbare App bedient
Beer und seine Kolleginnen und Kollegen Marco Squarcina, Sebastian Roth und Martina Lindorfer haben eine solche Attacke mit dem simplen Spiel „KillTheBugs“ ausprobiert. Dabei sammelt man Punkte, indem man auf dem Bildschirm kleine Käfer antippt. Das Spiel öffnet allerdings versteckt durch eine Animation eine andere App, zum Beispiel einen Browser.

„Wir können nun nach Belieben unsere Käfer aus dem Spiel so platzieren, dass genau die Position am Bildschirm angetippt wird, die wir wollen. Man hat das Gefühl, immer noch das Käfer-Spiel zu spielen, aber in Wahrheit bedient man nun die neu gestartete App, die man gar nicht sieht“, so der Informatiker.

Bei Tests mit 20 Versuchspersonen gelang es dem Team um Beer tatsächlich, auf diese Weise unbemerkt an verschiedene Berechtigungen zu kommen, etwa Zugriff auf die Kamera des Smartphones zu erhalten. „Theoretisch könnte man auf diese Weise auch eine Banking-App starten, oder auch alle Daten auf dem Handy löschen“, sagt der Informatiker.

Bisher kein Missbrauch nachgewiesen
Die Forschenden haben rund 100.000 Apps aus dem Play Store untersucht und keine Anwendung gefunden, die diese Lücke ausnützt. Die Informatiker hoffen daher, dass bisher noch kein echter Schaden angerichtet wurde – „aber natürlich muss das Problem behoben werden“, so Beer. Denn drei Viertel der Apps sind für „TapTrap“-Attacken anfällig.

Verschiedene Entwicklungs- und Sicherheitsteams wurden bereits im Vorjahr auf die Möglichkeit einer „TapTrap“-Attacke aufmerksam gemacht, jene der Browser Firefox und Google Chrome hätten die Lücke bereits geschlossen. Auch GrapheneOS, ein Android-basiertes Betriebssystem, habe das Problem schon gelöst.

App-Animationen deaktivieren
Die Informatiker raten dazu, nie Apps zu installieren, deren Herkunft nicht vertrauenswürdig erscheint. Ein Zugriff auf Kamera oder Mikrofon sei oft auch an Symbolen in der Statusleiste sichtbar. Ganz sicher gehe man, wenn man App-Animationen überhaupt deaktiviert. Das ist in den Einstellungen unter „Bedienungshilfen“, „Farbe und Bewegung“ möglich.