Eine Schwachstelle in Android sorgt dafür, dass speziell präparierte Apps gefälschte SMS in den SMS-Speicher eines Gerätes ablegen können.

Wie Xuxian Jiang, Associate Professor der Computerwissenschaften an der staatlichen Universität von North Carolina, mitteilt ist es damit z.B. auch möglich, SMS-Phishing (SMiShing) zu betreiben, indem Links zu Phishing-Websites in den SMS-Text eingebaut werden und eine bekannte Absendernummer angegeben wird. Die Lücke ermöglicht SMS-Phising-Angriffe in einem ganz neuen Stil – von Gingerbread bis hin zu Jelly Bean - Google wurde bereits informiert.

-odd-android.jpg

Die Sicherheitslücke ist Teil des „Android Open Source Project“ (AOSP), begrenzt sich also nicht auf eine bestimmte und angepasste Version von Android eines Herstellers oder eines Providers. Google wurde bereits davon in Kenntnis gesetzt und reagierte schon zehn Minuten später darauf mit einer Mitteilung, dass man bereits an einer Lösung arbeite und diese so schnell wie möglich verteilen wird. Dies betrifft aber vorerst nur Geräte der Nexus-Serie, also die mit einem sogenannten Vanilla-Android ausgestatteten Modelle, sodass Hersteller und Mobilfunkanbieter im Zugzwang sind, das Problem auch in ihren Versionen möglichst zeitnah zu beheben. Mit Blick auf die Update-Politik dieser Parteien sollten Anwender in der Zwischenzeit absolute Vorsicht beim Öffnen von SMS-Nachrichten walten lassen.

Eine infizierte App kann dem Nutzer den Eingang einer SMS vortäuschen, obwohl er gar nicht im Netz eingeloggt ist. Das schlimme hierbei: der Angreifer kann den Absender und Text frei wählen, so könnte man denken, das eine bekannte oder in einem schlimmeren Falle sogar die Bank der Absender der SMS. Die Uni möchte keinen Schade anrichten und hat Google umgehend informiert. Erst wenn Google reagiert hat und die Sicherheitslücke geschlossen hat, will sich die Uni genauer über die Lücke sprechen.

In einem Video wir die Problematik demonstriert:



Quellen: Klick und Klick