Connect with us

Datenschutz & Sicherheit

Android: Entwickler-Option gegen Spionage mit Barrierefreiheitsoptionen


Google hat Funktionen zur Verbesserung der Sicherheit von Android-Apps vorgestellt. Entwickler können mit sehr einfachen Ergänzungen ihre Apps etwa besser vor Ausspähen sensibler Daten schützen.

Weiterlesen nach der Anzeige

Ein Beitrag im Android-Developers-Blog erklärt etwa das neue Flag accessibilityDataSensitive in Android 16. Android-Malware nutzt häufig Barrierefreiheitsfunktionen, etwa der Anatsa-Banking-Trojaner oder die Copybara-Malware[Link auf Beitrag 4602725][Link auf Beitrag 4658025] und viele weitere, um Zugangsdaten oder andere sensible Informationen aus Android-Apps auszuspähen und an die kriminellen Drahtzieher auszuleiten. Google erklärt daher auch: „Bösartige Akteure versuchen, Accessibility-APIs zu missbrauchen, um sensible Informationen wie Passwörter und Finanzdetails direkt vom Bildschirm zu lesen und um Geräte von Nutzern zu manipulieren, indem sie falsche Berührungen damit einschleusen“.

Mit dem Flag accessibilityDataSensitive können Entwickler nun Ansichten oder sogenannte Composables markieren und damit erklären, dass sie sensible Informationen enthalten. „Setzt du das Flag in deiner App auf true, blockierst du im Wesentlichen potenziell bösartige Apps, sodass sie nicht auf deine sensiblen Daten zugreifen oder Interaktionen damit ausführen können“. Das Flag sorgt dafür, dass jedwede App, die Berechtigungen für Barrierefreiheitsfunktionen anfordert, sich jedoch nicht als legitimes Barrierefreiheits-Tool deklariert hat (Flag isAccessibilityTool=true), keinen Zugriff auf die Ansicht erhält.

Google setzt das Flag bereits ein

Das neue Flag haben Googles Entwickler bereits in die bestehende Methode setFilterTouchesWhenObscured integriert. In Apps, in denen die Entwickler bereits setFilterTouchesWhenObscured(true) zum Schutz der App vor „Tapjacking“ gesetzt haben, werden dadurch die Ansichten automatisch als sensible Daten für die Barrierefreiheit behandelt. Das soll zudem umgehend mehr Sicherheit liefern, ohne dass Entwickler zusätzlichen Aufwand haben.

Google empfiehlt Entwicklern, entweder setFilterTouchesWhenObscured oder accessibilityDataSensitive für alle Anzeigen zu nutzen, die sensible Informationen enthalten – einschließlich Login-Seiten, Zahlungsflüssen oder Ansichten mit persönlichen Daten oder Finanzinformationen. Weitere hilfreiche Informationen soll der Developer-Artikel über Tapjacking von Google liefern.

Auch mit Android 15 hat Google neue Funktionen implementiert, die die Datensicherheit erhöhen sollen.

Weiterlesen nach der Anzeige

Lesen Sie auch


(dmk)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

GitLab: Angreifer können Wiki-Seiten mit Malware anlegen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die DevSecOps-Plattform GitLab ist verwundbar. In aktuellen Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme kompromittieren.

Weiterlesen nach der Anzeige

Die Entwickler versichern in einer Warnmeldung, dass sie in den Ausgaben 18.4.6, 18.5.4 und 18.6.2 insgesamt zehn Sicherheitslücken geschlossen haben. Davon sind vier mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-12716, CVE-2025-8405, CVE-2025-12029, CVE-2025-12562). Auf GitLab.com sollen bereits die abgesicherten Versionen laufen.

Verschiedene Gefahren

Setzen Angreifer erfolgreich an diesen Lücken an, können sie unter anderem Wiki-Seiten mit Schadcode erstellen oder Malware in Code Flow Displays verankern. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein. Außerdem kann es nach DoS-Attacken zu Abstürzen kommen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Durch die verbleibenden Schwachstellen können unter anderem Informationen leaken.

Zuletzt haben die GitLab-Entwickler Ende November mehrere Sicherheitslücken geschlossen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Fernwartung ScreenConnect: Kritische Lücke ermöglicht Schadcodeausführung


In der Fernwartungssoftware ScreenConnect von Connectwise können Angreifer eine kritische Sicherheitslücke missbrauchen, um eigene Erweiterungen auf dem Server zu installieren. Aktualisierte Software soll das Problem lösen.

Weiterlesen nach der Anzeige

Die Schwachstellenbeschreibung lautet konkret, dass „serverseitige Validierung und Integritätsprüfung innerhalb des Erweiterungssubsystems die Installation und Ausführung von nicht vertrauenswürdigen oder beliebigen Erweiterungen durch angemeldete oder administrative User erlauben“. Missbrauch dieses Verhaltens könne in der Ausführung von eigenem Code oder unbefugtem Zugriff auf Konfigurationsdaten der App münden. „Das Problem betrifft ausschließlich die ScreenConnect-Server-Komponente, Host- und Gast-Clients sind nicht betroffen“, schränken die Autoren der Mitteilung ein (CVE-2025-14265, CVSS 9.1, Risiko „kritisch“).

Aktualisierte Software

Connectwise hat den ScreenConnect 25.8 Security Patch veröffentlicht. Das Update soll das Problem korrigieren, indem es die serverseitige Validierung und Integritätsprüfung bei der Installation von Erweiterungen stärkt „und allgemein die Plattform-Sicherheit und -Stabilität verbessert“, wie Connectwise in einer Sicherheitsmitteilung dazu schreibt. Abweichend von der Risikoeinschätzung gemäß CVSS sieht Connectwise das Problem als wichtig an, stuft die Priorität jedoch lediglich als moderat ein. Ausschlaggebend dafür ist, dass eine Autorisierung von bösartigen Akteuren nötig ist, um die Schwachstelle zu missbrauchen.

Die aktualisierte Software hat der Hersteller für die Cloud-Produkte bereits verteilt. Wer die Software On-Premises nutzt, soll jedoch die Updates von der ScreenConnect-Seite herunterladen und installieren. Sowohl Server, als auch Gast-Clients sollen auf die gleiche Version 25.8 (oder neuer) gebracht werden. Das Unternehmen liefert auch eine Anleitung, nach der Admins vorgehen sollten.

IT-Verantwortliche sollten sicherstellen, dass die Aktualisierung zeitnah erfolgt. ScreenConnect-Schwachstellen sind bei Cyberkriminellen hoch im Kurs. So wurden etwa im Juni Attacken auf ScreenConnect bekannt. Außerdem stehen ScreenConnect-Admins im Visier von Spear-Phishing-Angriffen.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Digital Fights: Digital Lights: Wir kämpfen gegen Handydurchsuchungen bei Geflüchteten


Ausländerbehörden durchsuchen die Handys von Menschen, die abgeschoben werden sollen und dürfen dabei tief in deren Privatsphäre blicken. Dabei verwenden sie Werkzeuge, die sonst bei der Polizei zum Einsatz kommen. Wir recherchieren seit Jahren zu diesen Befugnissen und sorgen dafür, dass sie öffentlich diskutiert werden. Die Frage dahinter: Wie viele Grundrechte darf der Staat aushebeln?

Teile dieses Video: YouTube | YouTube Shorts | Mastodon | Bluesky | Instagram

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.





Source link

Weiterlesen

Beliebt