Malware

Auf Hacker-Konferenz Lücke in Google Play aufgedeckt

Freitag, 27.07.2012 | 10:45 von Moritz Jäger
Fotostrecke Blackhat
© Moritz Jäger
Zwei Forscher haben die Sicherheitsfunktion Google Bouncer ausgehebelt. Sie soll bösartige Programme aus dem Google Play Marktplatz heraushalten. Zudem haben die Forscher Schwachstellen am Kontrollsystem gefunden.
Google Bouncer ist eine Anti-Malware-Software, die den Android-Marktplatz Google Play vor bösartigen Programmen und Malware schützen soll. Die beiden Trustwave-Forscher Nicholas Percoco und Sean Schulte wollten nach der Einführung von Bouncer allerdings genau wissen, wie gut die Google-Lösung arbeitet.

Dazu haben die beiden Forscher eine spezielle Android-App erstellt, die sich offiziell als SMS Blocker ausgibt und auch voll funktionsfähig ist. Allerdings bietet sie zu jeder legitimen Berechtigung auch eine bösartige Option. Beispielsweise benötigt sie Zugriff auf Adressbuch und SMS, um eingehende Nachrichten blocken zu können – gleichzeitig enthält sie aber auch eine Funktion, über die sie Kontakte und Nachrichten an den Server der Forscher überträgt.

Die beiden Forscher von Trustwave bei der Vorstellung
ihres Programms
Vergrößern Die beiden Forscher von Trustwave bei der Vorstellung ihres Programms
© Moritz Jäger

Da es sich um keine bösartige Attacke handelt, haben die Trustwave-Mitarbeiter vorab zwei Regeln festgelegt: Direkte Attacken auf die Infrastruktur von Google waren tabu. Stattdessen versuchen sie, wie ein bösartiger Entwickler vorzugehen, der seine Anwendung in den Marktplatz einreicht. Beschränkung Nummer 2 war, dass keine fremden Nutzer die App installieren durften – reichlich schwierig, da die App im echten Google Play Marktplatz veröffentlicht werden sollte. Die Lösung bestand darin, die Anwendung überdurchschnittlich teuer zu verkaufen.

Während der Entwicklung stellten die Forscher fest, dass Google Bouncer mit einer Ausnahme jede eingereichte Version der Anwendung überprüft und scannt. Allerdings schlug Bouncer während des normalen Tests kein einziges Mal an, die manipulierte App und all ihre Updates wurden brav in Google Play veröffentlicht.

Die verschiedenen Versionen der App. Scan bedeutet, dass
Bouncer die Anwendung überprüft hat, wäre ein Kreuz bei Detect,
hätte Bouncer die Anwendung abgelehnt.
Vergrößern Die verschiedenen Versionen der App. Scan bedeutet, dass Bouncer die Anwendung überprüft hat, wäre ein Kreuz bei Detect, hätte Bouncer die Anwendung abgelehnt.
© Moritz Jäger

Das dürfte daran liegen, dass sich die Forscher einen offiziell dokumentierten Workaround zu Nutze gemacht haben. Ähnliche wie die Facebook-App nutzten sie die Javabridge-Funktion. Damit kann man im Grunde eine App als Rahmen einreichen, die eigentlichen Inhalte und Features lädt die App aber erst nach der Installation aus dem Web nach. So kann man beispielsweise Inhalte und Funktionen aktualisieren, ohne dass eine komplette Neuinstallation der Anwendung notwendig ist. Allerdings konnten die Forscher so auch die Kontrolle durch Bouncer immer wieder austricksen. Insgesamt lieferten sie sieben Updates für die App, am Ende konnte der SMS Blocker das Smartphone sogar in ein Botnet integrieren um eine zentral gesteuerte Denial-of-Service-Attacke auf eine Webseite auszuführen.

Fazit: Die Forscher geben zu, dass Bouncer wie von Google beschrieben arbeitet, doch können clevere Malware-Entwickler die Schutz-Software austricksen. Zudem erlaubt die Javabridge das komplette Umgehen von Bouncer. Sie fordern, dass Google eine App  zur Malware-Abwehr direkt in Android integriert, um Viren abzufangen, die es durch die Bouncer-Kontrolle geschafft haben

Freitag, 27.07.2012 | 10:45 von Moritz Jäger
Kommentieren Kommentare zu diesem Artikel (0)
1531769