Viele Android-Apps mit Milliarden von Downloads sind anfällig für die neuartige Dirty-Stream-Attacke, die zahlreiche Geräten gefährdet.
Microsoft warnt Android-Benutzer vor einer neuartigen Angriffstechnik namens Dirty Stream. Diese kann es Bedrohungsakteuren ermöglichen, die Kontrolle über Apps zu übernehmen und vertrauliche Daten wie Passwörter oder Kreditkarteninformationen zu stehlen. Dabei wird eine Schwachstelle im Content-Provider-System von Android ausgenutzt, die, abhängig von der Implementierung einer Anwendung, „die Ausführung willkürlichen Codes“ und den „Diebstahl von Token“ zulässt.
Gemäß Microsoft vermag die Ausnutzung der Schwachstelle „einem Bedrohungsakteur die vollständige Kontrolle über das Verhalten einer Anwendung“ sowie „Zugriff auf die Konten und sensiblen Daten eines Benutzers“ zu verschaffen.
Microsoft beschreibt Dirty Stream als ein mit Path Traversal verknüpftes Angriffsmuster. Ein Path-Traversal-Angriff zielt darauf ab, auf Dateien und Verzeichnisse zuzugreifen, die außerhalb des Web-Root-Ordners gespeichert sind. Als Web-Root bezeichnet man das Eingangsverzeichnis, über das man die Ordner auf allen weiteren Ebenen erreicht.
Dirty Stream: Datenstrom-Manipulation zwischen zwei Android-Anwendungen
Mittels Dirty Stream kann ein Angreifer einen Pfad zu einer zu schreibenden bzw. zu lesenden Datei manipulieren. Dies ermöglicht es ihm, Dateien mit eigenen Inhalten zu überschreiben, oder sich die Inhalte bestimmter Dateien ausgeben zu lassen. Das Content-Provider-System von Android verwaltet dabei den Zugriff auf strukturierte Datensätze, die verschiedene Anwendungen gemeinsam nutzen. Gemäß Microsoft hebelt der Angriff dessen Sicherheitsmaßnahmen aus.
Wie BleepingComputer verdeutlicht, können mit Dirty Stream „böswillige Apps mithilfe einer benutzerdefinierten Absicht eine Datei mit einem manipulierten Dateinamen oder Pfad an eine andere App senden. Die Ziel-App wird dazu verleitet, dem Dateinamen oder Pfad zu vertrauen und führt die Datei aus oder speichert sie in einem kritischen Verzeichnis“.
Potenzielles Risiko bietet große Angriffsfläche
Microsoft identifizierte Dirty Stream „in den damals aktuellen Versionen mehrerer im Google Play Store veröffentlichter Android-Anwendungen. Darunter mindestens vier mit jeweils mehr als 500 Millionen Installationen“. Zwei Beispiele beliebter Apps, die dieses Risiko bargen, sind „Xiaomi Inc.’s File Manager mit ca. 1 Milliarde+ Installationen und WPS Office mit 500 Millionen+ Installationen.“
Microsoft hat die Entwickler der betroffenen Apps durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR) benachrichtigt. Das Unternehmen arbeitete mit den Sicherheitsteams von Xiaomi, Inc. und WPS Office zusammen, um das Problem zu beheben. Für beide Apps stehen bereits seit Februar 2024 Updates zur Behebung der Schwachstelle bereit.
Die Microsoft-Sicherheitsforscher gehen davon aus, „dass das Schwachstellenmuster auch in anderen Anwendungen zu finden ist. Wir teilen diese Forschungsergebnisse, damit Entwickler und Herausgeber ihre Apps auf ähnliche Probleme überprüfen. Diese ggf. beheben und verhindern können, dass solche Schwachstellen in neue Apps oder Versionen eingeführt werden“.
Gerät und installierte Anwendungen auf neuestem Stand halten
Benutzer sollen hinsichtlich der potenziellen Gefahr von Dirty Stream sicherstellen, dass sie Apps aktualisieren, sobald die Updates verfügbar sind:
„Nachdem wir dieses Problem entdeckt hatten, identifizierten wir mehrere anfällige Anwendungen. Im Rahmen unserer Richtlinie zur verantwortungsvollen Offenlegung haben wir Anwendungsentwickler durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR) benachrichtigt und mit ihnen zusammengearbeitet, um das Problem zu beheben. Wir möchten den Sicherheitsteams von Xiaomi, Inc. und WPS Office für die Untersuchung und Behebung des Problems danken. Seit Februar 2024 wurden Korrekturen für die oben genannten Apps bereitgestellt und Benutzern wird empfohlen, ihr Gerät und die installierten Anwendungen auf dem neuesten Stand zu halten.“