Spion-appen som inte begär rättigheter

 Android-appar som är så kallade trojaner, som gör fler eller andra saker än de ger sken av, brukar kunna avslöjas genom att appen begär att få tillgång till olka delar av telefonens system när den installeras.

Nu har en grupp tyska forskare tagit fram en app som inte begär några rättigheter alls vid installationen, men som ändå kan stjäla inloggningsuppgifter till olika sajter som användaren loggat in på med mobilens webbläsare.

Falsk Google+-app avlyssnar omgivningen

Metoden bygger delvis på den svaghet i Android som upptäcktes i slutet av förra året. Då visade säkerhetsforskaren Jon Oberheide att om man kan förmå användaren att installera en särskild typ av app kan appen på egen hand ladda ner och installera andra appar med mera omfattande behörigheter utan att användaren märker något.  

Den app som de tyska forskarna nu har skapat för att visa på svagheten begär inte ens att få tillgång till internet, men skaffar sig ändå tillgång till Android-systemets standardwebbläsare för att komma över inloggningsuppgifter. 

Forskarna skriver att man tog kontakt med Google i juni och informerade om sin upptäckt, som ska beröra alla Android-telefoner med version 2.3.4 eller tidigare samt alla surfplattor med version 3.1 eller tidigare. Nu har man valt att gå ut offentligt med sin upptäckt efter att ha fått besked från Google om att sårbarheten ska vara åtgärdad i version 3.2 för surfplattor, som har lanserats men ännu inte inkluderats i tillverkarnas mjukvara. När det gäller telefoner har man utlovat en uppdaterinng i den kommande Android-versionen 2.3.5, som dock ännu inte har släppts av Google.