Mobile Betriebssystem wie iOS oder auch Android sind mittlerweile sehr sicher – zumindest wenn bei letzterem die Dritthersteller nicht eigene Fehler einbauen oder auf Updates verzichten. Doch das System selbst ist eben nicht der einzige Angriffspunkt und in Hinblick auf Apps sieht es in dieser Hinsicht erheblich weniger erfreulicher aus.

Lücke

Die Sicherheitsforscher von Check Point warnen vor einer schweren Sicherheitslücke in der Google Play Core Library. Das mit einem CVSS v3 Score von 8,8 (von 10) Punkten als sehr gefährlich bewertete Problem sei besonders einfach auszunutzen, und könnte verwendet werden, um Apps zu unterwandern – also etwa Code in einem Messenger auszuführen oder auch bei einer Bank-App falsche Zwei-Faktor-Authentifizierungsmitteilungen anzuzeigen.

Doch in der Meldung von Check Point geht es nur am Rande um die Lücke selbst, sondern primär um den schleißigen Umgang von App-Entwicklern damit. Hat Google den Fehler doch bereits Anfang April ausgeräumt, viele Entwickler haben aber die Bibliothek, die in Apps eingebunden wird, nicht aktualisiert. Konkret spricht Check Point davon, dass 13 Prozent aller Apps im Play Store die Google Play Core-Library nutzen, von denen wiederum 8 Prozent noch eine verwundbare Version einsetzen.

Viele bekannte Apps mit dabei

In Summe bedeutet dies, dass potentiell hunderte Millionen von Android-Nutzern – zumindest theoretisch – gefährdet sind. Immerhin finden sich in der Liste der betroffenen Apps durchaus bekannte Namen. Darunter die Android-Version des Microsofts Browser Edge, die Dating-App Grindr, OKCupid, Bumble oder auch Booking.com und Viber. Cisco Webex Teams war auch betroffen, hat aber rasch nach der Warnung von Check Point mit einem Update reagiert.

Hintergrund

Generell erweisen sich eingebettete Bibliotheken und Softwareentwicklungskits (SDKs) zunehmend als Problem, vor allem wenn sie App-Entwickler nicht sehr gezielt nutzen und laufend aktualisieren. So gab es in den vergangenen Jahren immer wieder Schwierigkeiten mit zweifelhaften SDKs, über die App-Entwickler – zum Teil unbewusst – private Daten der Nutzer an Dritte weitergereicht haben. Bei Google reagiert man auf diese wachsende Bedrohung, indem man Bug Bounties anbietet, die einen finanziellen Anreiz zum Auffinden von Sicherheitslücken in viel benutzten Apps schaffen. Vor einigen Wochen wurde zudem bekannt, dass Google derzeit ein eigenes Sicherheits-Team für dieses wachsende Problem aufbaut. (Andreas Proschofsky, 6.12.2020)