Open Source im professionellen Einsatz

Android: Apps spionieren SMS-Nachrichten aus

App-Entwickler versuchen auf verschiedenen Wegen Umsatz mit ihren Programmen zu genieren. Sehr beliebt sind hier Werbeeinblendungen und In-App-Käufe. Zahlreiche Android Apps verwenden das Toamike SDK, um diese Werbefunktionen oder In-App-Kauf-Funktionalität einzubauen. Palo Alto Networks fand nun heraus, dass über 18 000 Apps ein- und ausgehende SMS-Nachrichten an Server des Werbeverteilers Taomike unbemerkt weiterverteilen.

Bei diesen Apps handelt sich allerdings nicht um solche, die in dem offiziellen Google Play Store vertrieben werden. Die Apps sind nur über Drittanbieter verfügbar und werden
hauptsächlich in China verkauft.  Verantwortlich für diese Sicherheitslücke ist die zdtpay-Bibliothek des SDKs. Diese Bibliothek wird für In-App-Käufe und Werbeeinblendungen verwendet, und enthält Code-Teile die komplette SMS-Nachrichten an Toamike weiterleiten. Aufgrund der Verbreitungswege der Apps sind aktuell nur Android-Nutzer in China betroffen von diesem Problem.

Google versucht solchen Schwachstellen eigentlich einen Riegel vorzuschieben. So ist es ab Android 4.4 nur den als Standard definierte Apps möglich vollen Zugriff auf Nachrichten zu erhalten. Taomike umgeht diesen Schutz, indem das SDK das Bezahlen von In-App-Käufen per SMS ermöglicht. Das hat zur Folge, dass dann voller Zugriff auf alle SMS-Nachricht vorhanden ist. Die SMS-Nachrichten werden auf  die URL hxxp://112.126.69.51/2c.php hochgeladen, wobei diese IP-Adresse zu den Taomike-Diensten gehört. Insgesamt verwenden circa 63 000 Android Apps das Toamike SDK. Alledings enhalten laut Palo Alto Networks nur 18 000 davon die SMS-Diebstahlfunktion.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.