Schadsoftware unter Android nutzt häufig die Accessibility Services, um Sicherheitsfunktionen auszuhebeln. Doch Apps können sich schützen.
Immer wieder machen SMS mit vermeintlichen Paketankündigungen, Hinweisen zu ungewollt veröffentlichten privaten Fotos oder angeblich verpassten Sprachnachrichten im deutschsprachigen Raum die Runde. Das Ziel: Die Empfänger zur Installation der Schadsoftware Flubot zu verleiten, die es anschließend beispielsweise auf Bankdaten abgesehen hat.
Die auf Mobilfunksicherheit spezialisierte Firma SRLabs hat den Vorgang und die Schadsoftware genauer analysiert und kritisiert, dass sich das Android-Berechtigungssystem über die Accessibility Services aushebeln lässt. Denn eigentlich sind die Apps unter Android über eine Anwendungs-Sandbox auf Kernelebene voneinander abgeschottet.
"Diese Isolierung soll verhindern, dass Apps mit anderen Apps interagieren, es sei denn, sie haben Dienste wie Intents und Inhaltsanbieter offengelegt", erklärt SRLabs. Doch diese Sicherheitsfunktionen greifen nicht mehr, wenn eine App als Accessibility Service laufe. Die App könne ein HTML-Overlay über die Zielapp legen, die deren Login-Bildschirm ähnelt und so die Zugangsdaten abgreifen.
Alternativ könne sie auch als Keylogger agieren, indem sie die Änderungen in den Eingabefeldern mitschneide. Beides wird von Flubot aktiv ausgenutzt, um die Zugangsdaten von Banking-Apps zu stehlen, aber auch, um sich per SMS weiterzuverbreiten. So trägt sich die App via Barrierefreiheit als Standard-SMS-App ein und legt ein Overlay über die Google Messages-App, damit die Nutzer die von Flubot versendeten Nachrichten nicht sehen können.
Explizite Warnungen gefordert
Das Problem einer missbräuchlichen Nutzung der Accessibility Services ist nicht neu. Google hatte das Problem bereits 2017 entschärft, indem das Unternehmen alle Apps aus dem Play Store entfernte, die die Accessibility Services nicht für ihren eigentlichen Zweck genutzt hatten. Doch außerhalb des Play Stores ist die missbräuchliche Nutzung der Accessibility Services nach wie vor beliebt.
Allerdings müssen die Nutzer sowohl bei der Installation von Apps außerhalb des Play Stores sehr explizite Warnungen missachten als auch der entsprechenden App die Berechtigung für die Barrierefreiheitsfunktion erteilen. Letztere kommt allerdings ohne eine explizite Warnung aus.
Den meisten Nutzern dürfte daher nicht klar sein, dass die Accessibility Services einen weitreichenden Zugriff auf andere Apps gewähren und Sicherheitsfunktionen von Android unterlaufen. In Anbetracht der Tatsache, dass nur eine Minderheit der Android-Benutzer die Barrierefreiheit tatsächlich nutze, brauche es eine deutlichere Warnung und eine doppelte Authentifizierung, um die Funktion freischalten zu können, fordert SRLabs.
Apps können sich selbst schützen
Doch auch Apps könnten sich selbst vor Angriffen mittels der Barrierefreiheitsfunktion schützen. Apps sollten prüfen, ob die Accessibility Services aktiv sind und anschließend ihre Nutzer warnen, betont SRLabs. Ein positives Beispiel sei die App von Coinbase, welche den Nutzern eine explizite Bestätigung abverlangt: "Ein Accessibility-Service versucht, mit Coinbase zu interagieren. Schütteln Sie Ihr Gerät, um es zu autorisieren."
Im Unterschied zu Gesten oder Berührungen, die mithilfe der Accessibility Services simuliert und daher von der Schadsoftware übersprungen werden können, lässt sich das Gerät nur durch den Menschen schütteln.
Unabhängig davon sollten Android-Nutzer nur Software aus sicheren Quellen wie Googles Play Store oder dem alternativen App Store F-Droid installieren sowie die etwaigen Warnungen bei der Installation beachten. Wer keine Barrierefreiheitsfunktionen benötigt, sollte Apps keinesfalls entsprechende Berechtigungen erteilen.
Quelle; golem
Immer wieder machen SMS mit vermeintlichen Paketankündigungen, Hinweisen zu ungewollt veröffentlichten privaten Fotos oder angeblich verpassten Sprachnachrichten im deutschsprachigen Raum die Runde. Das Ziel: Die Empfänger zur Installation der Schadsoftware Flubot zu verleiten, die es anschließend beispielsweise auf Bankdaten abgesehen hat.
Die auf Mobilfunksicherheit spezialisierte Firma SRLabs hat den Vorgang und die Schadsoftware genauer analysiert und kritisiert, dass sich das Android-Berechtigungssystem über die Accessibility Services aushebeln lässt. Denn eigentlich sind die Apps unter Android über eine Anwendungs-Sandbox auf Kernelebene voneinander abgeschottet.
"Diese Isolierung soll verhindern, dass Apps mit anderen Apps interagieren, es sei denn, sie haben Dienste wie Intents und Inhaltsanbieter offengelegt", erklärt SRLabs. Doch diese Sicherheitsfunktionen greifen nicht mehr, wenn eine App als Accessibility Service laufe. Die App könne ein HTML-Overlay über die Zielapp legen, die deren Login-Bildschirm ähnelt und so die Zugangsdaten abgreifen.
Alternativ könne sie auch als Keylogger agieren, indem sie die Änderungen in den Eingabefeldern mitschneide. Beides wird von Flubot aktiv ausgenutzt, um die Zugangsdaten von Banking-Apps zu stehlen, aber auch, um sich per SMS weiterzuverbreiten. So trägt sich die App via Barrierefreiheit als Standard-SMS-App ein und legt ein Overlay über die Google Messages-App, damit die Nutzer die von Flubot versendeten Nachrichten nicht sehen können.
Explizite Warnungen gefordert
Das Problem einer missbräuchlichen Nutzung der Accessibility Services ist nicht neu. Google hatte das Problem bereits 2017 entschärft, indem das Unternehmen alle Apps aus dem Play Store entfernte, die die Accessibility Services nicht für ihren eigentlichen Zweck genutzt hatten. Doch außerhalb des Play Stores ist die missbräuchliche Nutzung der Accessibility Services nach wie vor beliebt.
Allerdings müssen die Nutzer sowohl bei der Installation von Apps außerhalb des Play Stores sehr explizite Warnungen missachten als auch der entsprechenden App die Berechtigung für die Barrierefreiheitsfunktion erteilen. Letztere kommt allerdings ohne eine explizite Warnung aus.
Den meisten Nutzern dürfte daher nicht klar sein, dass die Accessibility Services einen weitreichenden Zugriff auf andere Apps gewähren und Sicherheitsfunktionen von Android unterlaufen. In Anbetracht der Tatsache, dass nur eine Minderheit der Android-Benutzer die Barrierefreiheit tatsächlich nutze, brauche es eine deutlichere Warnung und eine doppelte Authentifizierung, um die Funktion freischalten zu können, fordert SRLabs.
Apps können sich selbst schützen
Doch auch Apps könnten sich selbst vor Angriffen mittels der Barrierefreiheitsfunktion schützen. Apps sollten prüfen, ob die Accessibility Services aktiv sind und anschließend ihre Nutzer warnen, betont SRLabs. Ein positives Beispiel sei die App von Coinbase, welche den Nutzern eine explizite Bestätigung abverlangt: "Ein Accessibility-Service versucht, mit Coinbase zu interagieren. Schütteln Sie Ihr Gerät, um es zu autorisieren."
Im Unterschied zu Gesten oder Berührungen, die mithilfe der Accessibility Services simuliert und daher von der Schadsoftware übersprungen werden können, lässt sich das Gerät nur durch den Menschen schütteln.
Unabhängig davon sollten Android-Nutzer nur Software aus sicheren Quellen wie Googles Play Store oder dem alternativen App Store F-Droid installieren sowie die etwaigen Warnungen bei der Installation beachten. Wer keine Barrierefreiheitsfunktionen benötigt, sollte Apps keinesfalls entsprechende Berechtigungen erteilen.
Quelle; golem
