Auch Beton schützt nicht vor Angriffen.
Ein Angriffsszenario der Man-in-the-Disk-Attacke.
Die Sicherheitsforscher von Counterpoint Research warnen vor einer neuen Attacke gegen Android-Smartphones, die sie "Man in the Disk" getauft haben. Durch die Manipulationen von Dateien auf dem "externen" Speicher konnten sie in ihren Tests zahlreiche Apps zum Absturz bringen, im schlimmsten Fall hätte sich darüber auch Schadcode einschmuggeln lassen, warnen die Experten.
Erklärung
Möglich ist dies, da sich der Android-Apps zur Verfügung stehende Speicherplatz in zwei Bereiche einteilen lässt. Da wäre zunächst der interne Speicher, auf dessen Inhalte generell nur die zugehörige App Zugriff hat. Dann gibt es noch den "extern" genannten Speicherplatz, wobei dieser Name etwas irreführend ist. Dies kann zwar eine MicroSD-Karte sein, muss es aber nicht, bei vielen Android-Geräten ist dieser Bereich fix verbaut. Dieser externe Speicher ermöglicht den Datenaustausch zwischen mehreren Apps, und wird etwa für Fotos oder Musikdateien verwendet. Der Zugriff darauf ist über die Storage-Berechtigung abgesichert, die Nutzer müssen also den jeweiligen Apps zunächst die entsprechende Erlaubnis erteilen.
Ist dies aber einmal passiert, könnte jede App auch die Daten anderer Programme einsehen und sogar verändern. Genau aus diesem Grund rät Google App-Entwicklern dazu, sich an strikte Regeln für die Nutzung des externen Speichers zu halten, etwa hier keine essentiellen Daten abzulegen oder diese zumindest digital zu signieren, um vor dem Laden sicherzustellen, dass sie nicht verändert wurden.
Konsequenzen
Genau an dieser Stelle scheinen aber viele Apps zu patzen – und darunter sogar welche von Google selbst. So ist es den Forschern etwa gelungen, Google Translate und Google Text-to-Speech manipulierte Dateien unterzujubeln. Doch auch viele andere Hersteller sind in dieser Hinsicht nachlässig. Counterpoint erwähnt explizit Tools wie Yandex Translate oder den Xiaomi Browser, geht aber davon aus, dass noch wesentlich mehr Apps betroffen sind.
Laut den Sicherheitsforschern haben die meisten der betroffenen Hersteller bereits mit Updates reagiert, und die Lücke geschlossen, darunter auch Google. Für die Nutzer empfiehlt sich aber ganz generell, vorsichtiger bei der Vergabe der Storage-Berechtigung zu sein. Wie auch bei anderen Berechtigungen gilt die Regel: Kann eine App nicht schlüssig klarmachen, warum sie eine bestimmte Berechtigung benötigt, sollten die Nutzer sie ablehnen.
Kritik
Die Forscher von Counterpoint kritisieren in diesem Zusammenhang aber auch Google, da der Android-Hersteller hier die Verantwortung auf die App-Entwickler abschiebe. Dies sei ein grundlegend problematischer Ansatz, der nicht mehr zeitgemäß sei. Gleichzeitig ist es fraglich, wie diese Problematik überhaupt bereinigt werden könnte, ohne generell die Unterstützung von SD-Karten zu streichen. Immerhin verwenden diese üblicherweise mit FAT ein Dateisystem, das überhaupt keine Berechtigungen kennt, und eine sichere Trennung von Daten gar nicht zulässt. Ein denkbarer Weg wäre, dass Google striktere Regeln dafür aufstellt, was alles auf diesem externen Speicher landen darf – und was nicht. Dies würde aber natürlich die Nützlichkeit dieses Bereichs reduzieren. (Andreas Proschofsky, 14.8.2018)