Es ist eine neue Sicherheitslücke in Android entdeckt worden, die es entsprechenden Apps ermöglicht, die Telefonfunktion zu kontrollieren. Normalerweise muss einer App dafür die Berechtigung erteilt werden, aber durch Ausnutzen des Bugs kann dies umgangen werden. Apps können dadurch Anrufe starten, abweisen oder beenden.

Ein möglicher Angriff könnte beispielsweise durch ein präpariertes Spiel erfolgen. Ein kleines, einfach programmiertes Spiel oder aber eine der vielen Geräusche-Apps und ähnlich schnell entwickelte Programme werden am wahrscheinlichsten mit solchen Funktionen versehen. Neben dem Anrufen von kostenpflichtigen Rufnummern können die Apps dann auch Netzwerkcodes ausführen. Das sind spezielle Kurzwahlnummern, mit denen Einstellungen im Telefonnetz geändert werden können. Damit lassen sich zum Beispiel Rufumleitungen einrichten, die Anruferkennung aktivieren oder sogar die SIM-Karte blockieren.

Betroffen sind die Androidversionen 4.1.1, 4.1.2, 4.2.2, 4.3 und 4.4.2. In den neueren Versionen 4.4.3 und 4.4.4 wurde der Bug behoben. Laut Cure Sec, welche den Fehler entdeckt haben, reagiert Google seit Ende 2013 nicht auf die Meldung der Lücke. Ein Update, welches den Bug unabhängig von einer neueren Androidversion behebt, ist demnach nicht in Sicht. Leider auch keine Abhilfe schaffen Programme, die die Berechtigungsanfrage für Apps wiederherstellen, da die Schadsoftware gar keine Berechtigung benötigt.

Auch wenn es derzeit keine direkte Absicherung gibt, kann man sein Risiko doch verringern. Am besten sind diejenigen dran, für deren Geräte es bereits ein Update auf Android 4.4.3 oder 4.4.4 gibt. Man sollte daher immer alle verfügbaren Update einspielen. Für alle anderen gilt: nur vertrauenswürdige Apps installieren. Apps aus anderen Quellen als den offiziellen Stores sind generell nicht zu empfehlen, aber auch im Store sollte man vorsichtig sein. Gerade mit wenig Aufwand programmierte Apps, die auf eine breite Nutzerbasis zielen, sollte man meinen. Darunter fallen Geräuschgeneratoren, kleine Spiele oder Bildersammlungen.

Quelle: Cure Sec (Englisch)