Android-Geräte sind von einer Sicherheitslücke betroffen, die es einem Angreifer erlaubt, Apps auf ein Gerät zu schleusen. Genutzt wird hierzu eine Lücke in einer Funktion zur Übertragung von Dateien per NFC.
Das Betriebssystem Android weist eine Sicherheitslücke auf, die es einem Hacker ermöglicht, Nutzern fremde App-Pakete unterzuschieben. Das Problem steckt in einer Funktion namens NFC Beaming, Android bezeichnet dieses Feature als „Android Beam“. Es erlaubt den Versand von Dateien von einem Gerät zum anderen, wie das auch per Bluetooth möglich ist. Es können neben Fotos und anderen Mediendateien auch App-Instalationspakete an andere Nutzer übertragen werden.
Normalerweise wird die Installation von Apps am Play Store vorbei von Android zunächst verhindert, der Nutzer kann dies aber dennoch tun. Die vorliegende Lücke betrifft Android ab Version 8 Orio sowie Android 9, wie Sicherheitsforscher um Y. Shafranovich herausgefunden haben.
Android 10 ist von dem Problem nicht betroffen
Grund für die Anfälligkeit ist der Umstand, dass Android der Beam-Funktion die selbe Vertrauenswürdigkeit einräumt wie dem Play Store, was es ermöglicht, Apps zu verschicken, die der Nutzer mit einem einfachen Klick installieren kann, wenn ein Dialog ihn dazu auffordert. Dieser kann leider von der App mit gestaltet werden und wenn der Nutzer nicht aufmerksam ist, ist ein solcher Schritt schnell getan.
Mit den jüngsten Sicherheitsupdates vom Oktober hat Google die Android-Versionen 8 und 9 wieder sicher gemacht, falls verfügbar, sollten also unbedingt die Oktober-Patches eingespielt werden. Falls diese nicht verfügbar sind, sollte NFC einstweilen in den Verbindungseinstellungen deaktiviert werden.
Android 10 ist von dem Problem nicht mehr betroffen.