Android: Überprüft eure Apps – millionenfach installierte Apps aus dem Play Store manipulierten Facebook-Login

Veröffentlicht am von Jens
android 

Trotz aller Schutzmaßnahmen gelangen immer wieder Apps in den Google Play Store, die für Nutzer potenziell gefährlich sein können. Nun wurde ein neuer Fall bekannt, bei dem Apps mit einer Nutzerbasis von weit über fünf Millionen Installationen die Facebook-Zugangsdaten der Nutzer klauen wollten. Schaut euch die Liste der betroffenen Apps an, um sicherzustellen, dass ihr hoffentlich nicht betroffen gewesen seid.


malware-android

Google hat strenge Sicherheitsvorschriften im Play Store und kann nach eigenen Angaben einen Großteil schadhafter Apps und Malware durch automatische Scans erkennen. Doch in manchen Fällen sind auch die Algorithmen machtlos, wenn die Nutzer selbst jegliche Bedenken über Bord werfen. In einem aktuellen Fall haben Apps einen gefälschten Facebook-Login angezeigt und die von den Nutzern eingegebenen Daten abgefangen. Auf diese Weise dürften wohl sehr viele Facebook-Zugangsdaten entwendet worden sein.

Der Ablauf war recht einfach und kann von Algorithmen aufgrund der Umsetzung wohl kaum erkannt werden: Die einzelnen Apps (Liste weiter unten) boten einen soliden Funktionsumfang, der auch tatsächlich sinnvoll nutzbar war und versprachen mit einem Facebook-Login weitere Funktionen. Klar, dass da so mancher Nutzer das Angebot gerne annimmt und sich anschließend vermeintlich bei Facebook einloggt. Diese Login-Screens zum Verbinden solcher Konten bzw. der Freigabe von Daten kennt wohl jeder.

Tatsächlich wurde der Facebook-Login (facebook.com/login.php) geladen, doch es wurde zusätzlicher JavaScript-Code in die WebView-Komponente eingepflegt, mit dem die Logindaten mitgeloggt werden konnten. Auf diese Weise hat sich der Nutzer tatsächlich eingeloggt, dürfte keinerlei Misstrauen haben, und die Angreifer haben valide Daten zum Facebook-Login erhalten.




Diese Apps waren betroffen

  • PIP Photo: more than 5,000,000 downloads
  • Processing Photo: more than 500,000 downloads
  • Rubbish Cleaner: more than 100,000 downloads
  • Inwell Fitness: more than 100,000 downloads
  • Horoscope Daily: more than 100,000 downloads
  • App Lock Keep: more than 50,000 downloads
  • Lockit Master: more than 5,000 downloads
  • Horoscope Pi: 1,000 downloads
  • App Lock Manager: 10 downloads

Google hat Apps entfernt
Die oben aufgelisteten Apps sollen diese Vorgangsweise verwendet haben und sind auf weit über fünf Millionen Smartphones installiert. Google hat die Apps mittlerweile aus dem Play Store entfernt, allerdings nicht automatisiert von den Smartphones der Nutzer entfernt. Solltet ihr eine dieser Apps installiert haben, solltet ihr sie also entfernen oder zumindest nicht auf diesen Trick hereinfallen. Habt ihr eure Facebook-Zugangsdaten bereits eingegeben, sollten sie schleunigst geändert werden.

Eine solche Art von Angriffen wird sich wohl auch in Zukunft nur schwer verhindern lassen. Das Einfügen zusätzlichen JavaScript-Codes in WebView ließe sich sicherlich verhindern, doch spätestens wenn ein gefälschter Login geladen wird, können die Algorithmen das aufgrund der riesigen Bandbreite an Diensten praktisch nicht mehr zuverlässig erkennen.

» Google Assistant: Mitarbeiter könnten versehentlich aufgezeichnete Privatgespräche der Nutzer auswerten

Neuer Schwung für Android TV, Android Auto & Wear OS: Android: Google will deutlich mehr und bessere Apps

[Ars Technica]


Teile diesen Artikel:

Facebook twitter Pocket Pocket