Google hat Funktionen zur Verbesserung der Sicherheit von Android-Apps vorgestellt. Entwickler können mit sehr einfachen Ergänzungen ihre Apps etwa besser vor Ausspähen sensibler Daten schützen.

Ein Beitrag im Android-Developers-Blog erklärt etwa das neue Flag accessibilityDataSensitive in Android 16. Android-Malware nutzt häufig Barrierefreiheitsfunktionen, etwa der Anatsa-Banking-Trojaner oder die Copybara-Malware[Link auf Beitrag 4602725][Link auf Beitrag 4658025] und viele weitere, um Zugangsdaten oder andere sensible Informationen aus Android-Apps auszuspähen und an die kriminellen Drahtzieher auszuleiten. Google erklärt daher auch: „Bösartige Akteure versuchen, Accessibility-APIs zu missbrauchen, um sensible Informationen wie Passwörter und Finanzdetails direkt vom Bildschirm zu lesen und um Geräte von Nutzern zu manipulieren, indem sie falsche Berührungen damit einschleusen“.

Mit dem Flag accessibilityDataSensitive können Entwickler nun Ansichten oder sogenannte Composables markieren und damit erklären, dass sie sensible Informationen enthalten. „Setzt du das Flag in deiner App auf true, blockierst du im Wesentlichen potenziell bösartige Apps, sodass sie nicht auf deine sensiblen Daten zugreifen oder Interaktionen damit ausführen können“. Das Flag sorgt dafür, dass jedwede App, die Berechtigungen für Barrierefreiheitsfunktionen anfordert, sich jedoch nicht als legitimes Barrierefreiheits-Tool deklariert hat (Flag isAccessibilityTool=true), keinen Zugriff auf die Ansicht erhält.

Google setzt das Flag bereits ein

Das neue Flag haben Googles Entwickler bereits in die bestehende Methode setFilterTouchesWhenObscured integriert. In Apps, in denen die Entwickler bereits setFilterTouchesWhenObscured(true) zum Schutz der App vor „Tapjacking“ gesetzt haben, werden dadurch die Ansichten automatisch als sensible Daten für die Barrierefreiheit behandelt. Das soll zudem umgehend mehr Sicherheit liefern, ohne dass Entwickler zusätzlichen Aufwand haben.

Google empfiehlt Entwicklern, entweder setFilterTouchesWhenObscured oder accessibilityDataSensitive für alle Anzeigen zu nutzen, die sensible Informationen enthalten – einschließlich Login-Seiten, Zahlungsflüssen oder Ansichten mit persönlichen Daten oder Finanzinformationen. Weitere hilfreiche Informationen soll der Developer-Artikel über Tapjacking von Google liefern.

Auch mit Android 15 hat Google neue Funktionen implementiert, die die Datensicherheit erhöhen sollen.

(dmk)

Die DevSecOps-Plattform GitLab ist verwundbar. In aktuellen Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme kompromittieren.

Die Entwickler versichern in einer Warnmeldung, dass sie in den Ausgaben 18.4.6, 18.5.4 und 18.6.2 insgesamt zehn Sicherheitslücken geschlossen haben. Davon sind vier mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-12716, CVE-2025-8405, CVE-2025-12029, CVE-2025-12562). Auf GitLab.com sollen bereits die abgesicherten Versionen laufen.

Verschiedene Gefahren

Setzen Angreifer erfolgreich an diesen Lücken an, können sie unter anderem Wiki-Seiten mit Schadcode erstellen oder Malware in Code Flow Displays verankern. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein. Außerdem kann es nach DoS-Attacken zu Abstürzen kommen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Durch die verbleibenden Schwachstellen können unter anderem Informationen leaken.

Zuletzt haben die GitLab-Entwickler Ende November mehrere Sicherheitslücken geschlossen.

(des)