Eigentlich sind App Stores wie jene von Apple und Google nicht zuletzt dazu gedacht, die Nutzer vor Schadsoftware zu schützen. Entsprechend nehmen sie allerlei automatische Überprüfungen vor, um bösartige Apps aus dem Angebot fernzuhalten. Gleichzeitig versuchen aber Angreifer immer neue Tricks zu finden, um genau diese Checks zu umschiffen – und das nun wieder einmal mit Erfolg.

Trickreich

Unbekannten Angreifern ist es gelungen über mehrere Apps im Play Store Facebook-Login-Informationen von Nutzern abzugreifen, warnen die Sicherheitsforscher von Dr. Web. Insgesamt neun entsprechende Apps haben die Experten aufgespürt, die in Summe mindestens 5,8-Millionen Mal heruntergeladen wurden.

Was all diese Apps eint: Sie boten tatsächlich legitime Funktionen, die auch problemlos funktionierten.

Die Falle wurde durch ein interessantes Versprechen gestellt: Wer die sonst angezeigten Werbeeinschaltungen loswerden wolle, müsse sich nur im eigenen Facebook-Konto einloggen. Wer sich darauf einließ, sah sich infolge aber mit einer äußerst ausgeklügelten Attacke konfrontiert.

Ablauf

Bei dem Angriff wird nämlich die echte Facebook-Login-Seite in einem Webview geöffnet, das Apps für die Darstellung von Webinhalten in Apps nutzen können. Anschließend wurde aber ein eigenes Skript der Angreifer in das Webview hinzugeladen, dessen einzige Aufgabe es war, die Login-Daten abzugreifen. Doch damit nicht genug, wurden auch bereits vorhandene Authentifizierungs-Cookies abgegriffen. Damit war es dann möglich, die betreffenden Konten zu übernehmen.

Der Angriff zeigt nicht nur ein echtes Sicherheitsproblem bei der Nutzung von Webviews, sie war auch sehr flexibel angelegt. Die Angreifer hätten die Apps sehr schnell auch auf andere Dienste statt Facebook ausrichten können. Für die Nutzer besonders unerfreulich ist, dass sie üblicherweise keine Möglichkeit haben, Webviews zu entkommen, also die Anfragen in einem echten Browserfenster zu öffnen, wo solch ein Trick nicht möglich wäre, wie etwas Softwareentwickler Alex Russel, der jahrelange maßgeblich an Google Chrome und nun an Microsoft Edge arbeitet, nach Bekanntwerden des Vorfalls via Twitter kritisierte.

Schärfere Regeln

Die entsprechenden Apps wurden mittlerweile allesamt aus dem Play Store entfernt, eine Liste der betroffenen Programme findet sich im Blogposting von Dr. Web. Natürlich ist es aber für Angreifer ein leichtes einfach neue Konten anzulegen, um damit neue Attacken zu starten. Zumindest hat Google vor wenigen Tagen verschärfte Regeln für Entwicklerkonten angekündigt, die es Angreifern etwas schwerer machen sollte. So werden künftig etwa Adresse, Telefonnummer aber auch Name einer Kontaktperson kontrolliert, bevor ein neuer Entwickler Apps hochladen kann. Diese neuen Regeln sind zum Teil schon im Kraft, in vollem Umfang sollen die Regeln dann ab August gelten. (apo, 4.7.2021)