Schwere Lücke in populärer Android-App - Entwickler auf Tauchstation

Von Christian Kahle am 16.02.2021 09:41 Uhr
29 Kommentare
Selbst bei äußerst populären Anwendungen mit enorm vielen Downloads kann man sich keineswegs sicher sein, dass die Entwickler halbwegs professionell agieren. Das zeigt sich aktuell beispielsweise an der SHAREit-App für Android.

Der Hersteller der Software schafft es seit nun schon drei Monaten nicht, eine Sicherheitslücke zu beheben. Die Schwachstelle ermöglicht es Angreifern, Code auf ein Android-Smartphone zu schleusen und zur Ausführung zu bringen. Das geht aus einer Bug-Analyse des Security-Dienstleisters Trend Micro hervor. Ursache für das Problem sind demnach wohl unzureichende Beschränkungen für den Zugang zum Code der App, die vom Entwickler vorgenommen werden müssten.

Schadcode lässt sich dabei relativ einfach in die App einschleusen. Immerhin handelt es sich bei SHAREit um eine Anwendung, die gerade darauf abzielt, Inhalte mit anderen Geräten auszutauschen. Da gehört es letztlich dazu, dass die App mehr oder weniger bereitwillig Daten von Außen entgegennimmt - und entsprechend groß ist die Verantwortung der Entwickler, dafür zu sorgen, dass die eingehenden Informationen dann nicht zum Problem werden können.

Löschen ist einziger Schutz

Hier allerdings genügt nun also quasi ein einfacher Man-in-the-Middle-Angriff, um Schadcode auf ein Android-System zu schleusen und zur Ausführung zu bringen. Unbefugte sind so in der Lage, Daten des Nutzers zu zerstören oder per Ransomware für Erpressungen zu missbrauchen. Auch Spionage-Tools lassen sich so recht einfach auf Systemen installieren.

Die Sicherheitsexperten haben ihre Erkenntnisse bereits vor drei Monaten an den Entwickler der App geschickt. Allerdings sei es bisher nicht gelungen, mit diesem wirklich in Kontakt zu treten. Eine Antwort gab es nie. Auch einen Bugfix stellte der Anbieter nicht bereit. Bei kleineren Apps könnte man die Sache vermutlich zur Seite tun, SHAREit bringt es laut den Play Store-Statistiken aber auf Download-Zahlen im Milliarden-Bereich und ist entsprechend weit verbreitet. Trend Micro entschied sich daher, die Erkenntnisse öffentlich zu machen und ausdrücklich vor der Nutzung der App zu warnen - bis es eine Reaktion des Entwicklers gibt, sollte sie besser von Android-Geräten gelöscht werden.

Siehe auch:

29 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Android
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies