Ungepatchte Android-App mit 1 Milliarde Downloads bedroht Spionage, Malware

  • Angreifer können SHAREit-Berechtigungen ausnutzen, um bösartigen Code über Schwachstellen auszuführen, die drei Monate, nachdem die App-Hersteller informiert wurden, ungepatcht bleiben.

    Eine Android-App, die mehr als 1 Milliarde Mal heruntergeladen wurde, ist mit Schwachstellen behaftet, die es Angreifern ermöglichen, App-Funktionen zu kapern oder vorhandene Dateien zu überschreiben, um bösartigen Code auszuführen oder Man-in-the-Disk (MiTD)-Angriffe auf die Geräte von Personen zu starten, wie Forscher herausgefunden haben.

    Die Schwachstellen befinden sich in einer App namens SHAREit, die es Nutzern von Android-Apps ermöglicht, Dateien zwischen Freunden oder Geräten zu teilen. Sie wurden vor drei Monaten von Forschern von Trend Micro identifiziert und an den App-Hersteller gemeldet. Laut einem Bericht, der am Montag online gestellt wurde, sind die Schwachstellen jedoch noch nicht behoben. Softonic, ein Unternehmen mit Sitz in Barcelona, Spanien, ist der Entwickler und Vertreiber der App.

    “Wir haben uns entschieden, unsere Forschung drei Monate nach der Meldung zu veröffentlichen, da viele Benutzer von diesem Angriff betroffen sein könnten, da der Angreifer sensible Daten stehlen und alles mit der Erlaubnis der Apps tun kann”, schrieb Echo Duan, ein Analyst für mobile Bedrohungen bei Trend Micro, in dem Bericht. “Außerdem ist er nicht leicht zu erkennen.”

    Trend Micro informierte auch Google über die Probleme der App, die in mehreren Fehlern in ihrem Code liegen, die Dritten zu leicht die Berechtigung geben, legitime App-Funktionen zu übernehmen, vorhandene App-Dateien zu überschreiben oder sogar den von mehreren Apps gemeinsam genutzten Android-Speicher zu übernehmen, um bösartigen Code auszuführen, sagte er.

    SHAREit’s Bevy of Security Bugs

    “Wir haben den Code der App untersucht und festgestellt, dass sie den Broadcast-Empfänger als ‘com.lenovo.anyshare.app.DefaultReceiver’ deklariert”, erklärt Duan in dem Beitrag. “Er empfängt die Aktion ‘com.ushareit.package.action.install_completed’ und Extra Intent ruft dann die Funktion startActivity() auf.”

    Die Forscher bauten einen einfachen Proof of Concept (PoC) und fanden heraus, dass “jede App diese Broadcast-Komponente aufrufen kann”, sagte er. “Dies zeigt beliebige Aktivitäten an, einschließlich der internen (nicht-öffentlichen) Aktivitäten von SHAREit und externen Apps.”

    Darüber hinaus können Dritte durch einen Fehler im FileProvider temporären Lese- und Schreibzugriff auf die Daten des Content-Providers erhalten, schrieb Duan. “Noch schlimmer ist, dass der Entwickler einen weiten Wurzelpfad für den Speicherbereich angegeben hat”, schrieb er. “In diesem Fall kann auf alle Dateien im Ordner /data/data/<package> frei zugegriffen werden.”

    Im PoC von Trend Micro schlossen die Forscher Code ein, der WebView-Cookies ausliest, die zum Schreiben aller Dateien im Datenordner der SHAREit-App verwendet wurden. “Mit anderen Worten, es kann verwendet werden, um bestehende Dateien in der SHAREit-App zu überschreiben”, sagte Duan über den Angriff.

    Auf diese Weise können bösartige Apps, die auf einem Gerät mit SHAREit installiert sind, die App übernehmen, um benutzerdefinierten Code auszuführen oder Apps von Drittanbietern zu installieren, ohne dass der Benutzer es merkt, so die Forscher.

    Man-in-the-Disk Mobile Bedrohung

    SHAREit ist auch anfällig für einen MiTD-Angriff, eine Variante eines Man-in-the-Middle-Angriffs, der 2018 von Check Point identifiziert wurde und sich aus der Art und Weise ergibt, wie das Android-Betriebssystem zwei Arten von Speicher verwendet – intern und extern, wobei letzterer eine austauschbare SD-Karte verwendet und vom Betriebssystem und allen Apps gemeinsam genutzt wird.

    Diese Art von Angriff erlaubt es jemandem, Daten abzufangen und möglicherweise zu verändern, während sie zwischen dem externen Android-Speicher und einer installierten App hin- und herwandern, und ist mit SHAREit möglich, “weil die App, wenn ein Benutzer sie im Download-Center herunterlädt, in das Verzeichnis geht”, schrieb Duan. “Der Ordner ist ein externes Verzeichnis, was bedeutet, dass jede App mit Schreibrechten auf der SD-Karte darauf zugreifen kann.”

    Die Forscher veranschaulichten diese Aktion in ihrem POC, indem sie die Datei Twitter.apk im Code manuell kopierten und durch eine gefälschte Datei gleichen Namens ersetzten. Als Ergebnis erschien ein Pop-up der gefälschten Twitter-App auf dem Hauptbildschirm der SHAREit-App, schrieb Duan. Beim erneuten Öffnen von SHAREit erschien die gefälschte Twitter-App wieder auf dem Bildschirm und forderte den Benutzer auf, sie zu installieren, eine Aktion, die laut dem Beitrag erfolgreich ist.

    Softonic hat noch nicht auf eine E-Mail von Threatpost geantwortet, in der um einen Kommentar zu den Entdeckungen von Trend Micro gebeten wurde. Es ist nicht das erste Mal, dass schwerwiegende Schwachstellen in SHAREit gefunden wurden. Vor zwei Jahren entdeckten Forscher zwei schwerwiegende Schwachstellen in der App, die es einem Angreifer ermöglichten, den Geräteauthentifizierungsmechanismus der Dateiübertragungsanwendung zu umgehen und schließlich Inhalte und beliebige Dateien vom Gerät des Opfers herunterzuladen.

    Duan empfahl den Anwendern, die mobilen Betriebssysteme und die Apps selbst regelmäßig zu aktualisieren und zu patchen, um die Sicherheit auf ihren Geräten aufrechtzuerhalten, sowie “sich durch das Lesen von Bewertungen und Artikeln über die Apps, die sie herunterladen, auf dem Laufenden zu halten.”

    Ist Ihr kleines bis mittleres Unternehmen ein leichtes Ziel für Angreifer?

    Threatpost-WEBINAR: Sichern Sie sich Ihren Platz für “15 Cybersecurity Gaffes SMBs Make”, ein KOSTENLOSES Threatpost-Webinar am 24. Februar um 14.00 Uhr ET. Cyberkriminelle verlassen sich darauf, dass Sie diese Fehler machen, aber unsere Experten helfen Ihnen, Ihr kleines bis mittleres Unternehmen so abzusichern, als wäre es ein Fortune 100-Unternehmen. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mittwoch, 24. Februar.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com