1. Futurezone
  2. Digital Life
  3. Apps

  4. Android-Handys: Forscher schlagen Alarm – „unsichtbare“ App kann deine Bankdaten stehlen

Veröffentlicht inApps

Android-Handys: Forscher schlagen Alarm – „unsichtbare“ App kann deine Bankdaten stehlen

Avatar photo von Véronique Fritsche

Cyberkriminelle denken sich immer mehr Tricks aus, um an deine sensiblen Daten zu kommen. Doch in diesem Fall waren ihnen vier Wissenschaftler*innen einen Schritt voraus.

Auf einem Handy wird der Google Play Store angezeigt.
© PixieMe - stock.adobe.com

Finger weg von dieser Handy-App: Sie schadet deinem Akku und stiehlt dir Geld und Daten

Eine Android-App, mit der du Videos herunterladen kannst, soll nicht nur dein Handy schwer belasten, sondern gleichzeitig versteckte Kosten verursachen und deine Daten preisgeben.

Forschende der TU Wien haben ein Experiment mit erschreckendem Ergebnis durchgeführt. Dieses ergab, dass zahlreiche Android-Apps eine massive Sicherheitslücke aufweisen, die für dich und deine Daten schnell sehr gefährlich werden kann.

Android-Apps: Hier lauert die Gefahr

„Was wir am Handybildschirm sehen, muss nicht immer das sein, was wir tatsächlich bedienen“, heißt es in einer vor kurzem veröffentlichten Mitteilung der TU Wien. Vier Forscher*innen haben sich genau diesem Problem angenommen. Dabei haben sie herausgefunden, dass Android-Apps sehr leicht mit einer „unsichtbaren“ zusätzlichen Anwendung belegt werden können. Diese kann dann auf deinem Handy großen Schaden anrichten.

Auf einem Smartphone können mehrere Apps gleichzeitig aktiv sein. Normalerweise ist eine davon im Vordergrund sichtbar, das kann zum Beispiel ein Spiel sein oder ein Messenger, in den du gerade eine Nachricht tippst. „Apps können allerdings auch andere Apps starten – und dabei Animationen nutzen, etwa ein langsames Einblenden oder Hereingleiten“, erklärt Philipp Beer von der Security and Privacy Group der TU Wien.

„Genau das kann man missbrauchen“, mahnt der Forscher. Eine betrügerische Anwendung kann unbemerkt eine andere starten, diese aber quasi „durchsichtig“ auf dem Handybildschirm anzeigen. Sie befindet sich dann zwar auch im Vordergrund und kann mit Fingertippen gesteuert werden, ist für dich mit dem Auge aber nicht zu erkennen. Das bedeutet, du bedienst dann eine App, die du gar nicht siehst. Somit kannst du ungewollt dazu gebracht werden, bestimmt Aktionen auf deinem Handy auszuführen.

Lesetipp: WhatsApp: Wer diese Nachrichten erhält, sollte sofort handeln

Käfer-Spiel entpuppt sich als böser Betrug

Was sich zunächst ziemlich theoretisch anhört, haben die Forschenden in einem ganz praktischen Fall bereits erprobt. Dafür haben diese ein simples Spiel erstellt, bei dem Punkte gesammelt werden mussten, indem man auf dem Bildschirm kleine Käfer antippt. Dahinter hat das Team aber eine perfide Betrugsmasche verborgen.

„Das Spiel öffnet dann aber eine andere App, zum Beispiel einen Browser. Wir können nun nach Belieben unsere Käfer aus dem Spiel so platzieren, dass genau die Position am Bildschirm angetippt wird, die wir wollen. Man hat das Gefühl, immer noch das Käfer-Spiel zu spielen, aber in Wahrheit bedient man nun die neu gestartete App, die man gar nicht sieht“, erklärt Beer.

Das Forschungsteam ließ das Spiel von zwanzig Versuchspersonen testen und tatsächlich konnten sie sich so Berechtigungen, wie zum Beispiel den Zugriff auf die Kamera des Smartphones, erschleichen. „Theoretisch könnte man auf diese Weise auch eine Banking-App starten, oder auch alle Daten auf dem Handy löschen“, so der Forscher der TU-Wien.

Auch interessant: Sofort löschen: Diese 3 Apps verfolgen jeden deiner Schritte

Das kannst du jetzt tun

Die gute Nachricht ist, dass das Team der TU Wien zwar beweisen konnte, dass die Attacke funktioniert, aber diese wohl keine Verwendung unter Cyberkriminellen findet. So wurden 100.000 Android-Apps aus dem Play Store untersucht und nicht eine davon hat diese Sicherheitslücke bisher ausgenutzt. Trotzdem kann sich das in Zukunft ändern. Deshalb sollte das Problem schnellstmöglich behoben werden, mahnen die Forschenden.

Daher setzten sich die Wissenschaftler*innen bereits mit dem Android-Entwicklungsteam in Verbindung. Auch die Hersteller von Firefox und Google Chrome wurden kontaktiert, diese haben laut der TU Wien die Lücke für ihre Browser bereits geschlossen. GrapheneOS, ein Android-basiertes Betriebssystem, das speziell auf Maximierung der Sicherheit ausgelegt ist, soll das Problem ebenfalls bereits gelöst haben.

Doch als Nutzer*in musst du dich nicht wehrlos den Cyberkriminellen ergeben, sondern kannst einige simple Regeln befolgen, die dich vor solchen Angriffen schützen. „Prinzipiell sollte man nie Apps installieren, deren Herkunft nicht vertrauenswürdig erscheint“, sagt Beer. Er ergänzt: „Wenn auf die Kamera oder das Mikrophon zugegriffen wird, ist das oft auch an Symbolen in der Statusleiste sichtbar, darauf sollte man achten.“ Wenn du ganz auf Nummer sicher gehen willst, kannst du die Animationen in Android-Apps auch deaktivieren. Das gelingt in den Einstellungen unter der Kategorie „Bedienungshilfen“ und der Schaltfläche „Farbe und Bewegung“.

Quelle: TU Wien

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.