Mehr brandheiße Inhalte
zur Gruppe
Apple Forever
1023 Mitglieder
Das Thema ist für dich interessant? Jetzt JOYclub entdecken

Sicherheitslücke in Update-Code gefährdet alle Android-Gerät

****ab Paar
12.455 Beiträge
Themenersteller Gruppen-Mod 
Sicherheitslücke in Update-Code gefährdet alle Android-Gerät
Sicherheitslücke in Update-Code gefährdet alle Android-Geräte

In Android klafft eine Sicherheitslücke, für die beinahe alle auf dem Markt befindlichen Geräte anfällig sind. Aus dem Schneider sind kurioserweise diejenigen, die keine Updates erhalten. Wir zeigen, welche Gegenmaßnahmen wirklich helfen.

Sicherheitsexperten der Indiana University haben eine neue Sicherheitslücke entdeckt, die dann ausgenutzt werden kann, wenn Sicherheitslücken eigentlich geschlossen werden sollen: Bei Android-System-Updates.

Pileup-Flaw: So funktioniert der Hack

Google schützt diverse Funktionen des System mit Hilfe von Berechtigungen. Diese muss der Nutzer normalerweise bestätigen, wenn er eine App installiert. Android zeigt dann alle Rechte an, die die App schließlich haben wird - allerdings nur solche, die der installierten Android-Version bekannt sind.

Google ergänzt aber häufig weitere Berechtigungen mit den Versionen. Hier ist der entscheidende Fehler zu finden: Eine App könne Berechtigungen anfragen, die in der aktuellen Version nicht vorhanden sind. Aktualisiert der Nutzer sein Smart­phone oder Tablet auf ein neueres Android, so könne eine App so gestaltet sein, dass sie automatisch die zum Installationszeitpunkt noch unbekannte Berechtigung erhält. Der Nutzer hat dieser dann nicht zugestimmt, da er nicht sehen konnte, dass zum Installationszeitpunkt weitere Rechte angefordert wurden. Über diese Methode ließen sich weitere Sicherheitsmerkmale von Android aushebeln und sogar System-Apps oder voreingestellte Bookmarks könnte ein Angreifer ersetzen. Insgesamt gebe es sechs anfällige Stellen in Android.

Die Entdecker der Sicherheitslücke haben dies sowohl in Googles Fassung von Android gefunden als auch bei anderen Herstellern. Sie wollen es geschafft haben, manipulierte Apps in bekannten Android-Appstores und auch bei Google Play zu platzieren. Zur Gegenwehr haben sie die Anwendung Secure Update Scanner entwickelt, die installierte Apps auf den hier beschriebenen Mechanismus überprüft. Sie ist kostenlos im Google Play Store erhältlich.
https://play.google.com/store/apps/details?id=com.iu.seccheck

Anwendungsbereich der Sicherheitslücke eher klein

Ein Scan auf einem Nexus 5 - offenbar alles paletti.Der Anwendungsbereich der Sicherheitslücke ist recht begrenzt - denn nur selten stehen große Versionssprünge an. Große Änderungen erfuhr Android zwischen den Versionen 2.3.6 und 4.0 - hier sind aber keine Updates mehr zu erwarten. Höchstens wer bei einem älteren Android-Smartphone ein schon länger angebotenes Update installiert, muss zittern. Wer hingegen eine Custom-ROM über die Hersteller-Firmware installiert, muss dabei meist sein gesamtes System neu einrichten.

Die Sicherheitslücke ist dennoch ernstzunehmen - vor allem, weil böswillige Apps offenbar an den Systemdaten Veränderungen vornehmen können. Die Entdecker schreiben, sie hätten Google über das Problem informiert. Google habe eine der Lücken bereits geschlossen. Wie der Stand bei den restlichen fünf ist, sei aktuell unbekannt.

Im Sommer 2013 hatte eine Sicherheitslücke in Android für Aufsehen gesorgt, die ebenfalls beinahe alle am Markt befindlichen Smartphones betraf.

Quelle: teletarif.de
Anmelden und mitreden
Du willst mitdiskutieren?
Werde kostenlos Mitglied, um mit anderen über heiße Themen zu diskutieren oder deine eigene Frage zu stellen.