Xiaomi liefert auf seinen Smartphones mehrere eigene Apps mit aus, darunter eine auf „Security“ getaufte App für eine höhere Sicherheit. Die soll allerdings angreifbar gewesen sein, berichten die Forscher von „Check Point„. Ein sehr kritisches Problem, denn immerhin rechnet man als Nutzer unbedingt damit, dass zumindest die Apps vom Hersteller ordentlich abgesichert sind und nicht zu Problemen führen.
„Aufgrund der unsicheren Art des Netzwerkverkehrs zu und von „Guard Provider“ kann ein Angreifer im selben Wi-Fi-Netzwerk wie das Opfer einen Man-in-the-Middle-Angriff (MiTM) durchführen. Als Teil eines SDK-Updates eines Drittanbieters könnte er den Malware-Schutz deaktivieren und jeden von ihm gewählten Schadcode einfügen, um Daten zu stehlen, Ransomware zu implantieren oder andere Arten von Malware zu installieren.“
Man habe die Schwachstelle dem Hersteller längst mitgeteilt und dieser stellte einen Patch bereit, so die Forscher in ihrem Beitrag. Für die Nutzer bedeutet das mal nachzuschauen ob alle System-Apps auf einem aktuellen Stand sind. Des Weiteren ist ein Angriff ohnehin nur im selben Netzwerk möglich, die Chance darauf scheint extrem niedrig.
Zu viele SDKs verderben den Brei
Wie konnte die Sicherheitslücke entstehen? Wiedermal durch die Tools von Drittanbietern. Für die besagte App kommen gleich drei Entwickler-Kits von unterschiedlichen Unternehmen zum Einsatz. Unbekannte Fehler und Sicherheitslücken in dieser Fremd-Software landen damit ungewollt in der eigenen App.
Das obige Angriffsszenario veranschaulicht auch die Gefahren der Verwendung mehrerer SDKs in einer App. Kleinere Fehler in jedem einzelnen SDK können oft ein eigenständiges Problem sein. Wenn jedoch mehrere SDKs in derselben App implementiert werden, ist es wahrscheinlich, dass noch mehr kritische Sicherheitslücken nicht weit entfernt sind.
Sogenannte SDKs spielten zuletzt häufiger eine Rolle, zum Beispiel bei einem fiesen Trick mit Werbeanzeigen. Zudem setzen extrem viele App-Entwickler auf Analyse-Tools von Facebook, die diverse Nutzerdaten sammeln.
Folge jetzt unserem neuen WhatsApp-Kanal, dem News-Feed bei Google News und rede mit uns im Smartdroid Chat bei Telegram. Mit * markierte Links sind provisionierte Affiliate-Links.