Sicherheitslücke in allen Android-Versionen
Sicherheitslücke in allen Android-Versionen (Bild: Scott Akerman/Sterlic)

Bluebox Sicherheitslücke in allen Android-Versionen

In Googles Mobilbetriebssystem Android ist eine Sicherheitslücke entdeckt worden. Darüber können Unbefugte Schadcode in eine App einfügen, ohne dass sich die kryptographische Signatur verändert. Eigentlich soll die Signatur genau das verhindern.

Anzeige

In allen noch in Gebrauch befindlichen Android-Versionen ist von der Sicherheitsfirma Bluebox eine Sicherheitslücke entdeckt worden. Sie ist bereits seit Android 1.6 alias Donut vorhanden. Bisher hat das Galaxy S4 von Samsung als einziges Android-Gerät ein Update erhalten, mit dem das Sicherheitsloch geschlossen wurde, wie die australische Webseite CIO berichtet.

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 soll Google seinerseits dann die Hersteller von Android-Geräten darüber informiert haben. In der Android-Basisversion hat Google das Sicherheitsloch bislang nicht gestopft, so dass auch alle Nexus-Modelle noch angreifbar sind. Wann Google und die anderen Hersteller von Android-Geräten entsprechende Patches veröffentlichen, ist derzeit nicht bekannt.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Bei der Installation von Android-Apps sollten Nutzer daher besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.


SIDESTRE4M 05. Jul 2013

Das ist jetzt ne Glaubensfrage, aber ich hatte mal kurz Windows Phone 7 Mango auf meinem...

0xDEADC0DE 05. Jul 2013

Nein, du liegst goldrichtig... leider. HTC hat das Sensation auch einfach links liegen...

0xDEADC0DE 05. Jul 2013

Natürlich bin ich mir sicher, irgendwie müssen Flash Updates auf mein Sensation kommen.

zettifour 05. Jul 2013

So einfach ist es wohl nicht. Geht nur, wenn man das original gesicherte WLAN mit Radius...

Endwickler 05. Jul 2013

Und das macht niemand raus. Wer hätte das gedacht. :-)

Kommentieren




Anzeige

  1. IT Solution Architect (m/w)
    evosoft GmbH, Nürnberg
  2. IT-Projektmanager (m/w)
    ckc ag, Braunschweig/Wolfsburg
  3. IT Spezialist Serversysteme im Microsoft Umfeld (m/w)
    ADAC e.V., München
  4. Senior Consultant / Technical Architect (m/w) für Adobe Experience Manager (CQ / AEM)
    über Randstad Deutschland GmbH, Bonn

 

Detailsuche


Blu-ray-Angebote
  1. FSK-18-Filme reduziert
    (u. a. Scarface 8,99€, Band of Brothers 17,97€, Robocop 1-3 Collection 20,65€, Dawn of the...
  2. Erbarmungslos (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 28.05.
  3. TIPP: Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [3D Blu-ray] [Limited Edition]
    74,00€ - Release 23.04.

 

Weitere Angebote


Folgen Sie uns
       


  1. Windows 10 für Smartphones

    Office-Universal-App kommt noch im April

  2. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott

  3. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  4. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  5. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  6. Windkraftwerke

    Kletterroboter überprüft Windräder

  7. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  8. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  9. Google

    Chrome unterstützt Windows XP bis Ende 2015

  10. Kernel

    GNU Hurd 0.6 erschienen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Onion Omega Preiswertes Bastelboard für OpenWrt
  2. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  3. MIPS Creator CI20 angetestet Die Platine zum Pausemachen

Axiom Verge im Test: 16 Bit für Genießer
Axiom Verge im Test
16 Bit für Genießer
  1. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  2. Test Mushroom Men Der Knobelpilz und die dicke Prinzessin
  3. The Witness Ex-Indie-Millionär nimmt Kredit für nächstes Projekt auf

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

  1. Re: Öbb Wlan

    plutoniumsulfat | 15:10

  2. Re: In Deutschland: ICE mit 80kmh.

    Stefan1200 | 15:03

  3. Re: verdampfendes Metall bzw plasma?

    HiddenX | 15:03

  4. 2 "low cost" Ansätze

    pk_erchner | 15:02

  5. Re: Transrapid

    Muhaha | 15:02


  1. 14:40

  2. 13:28

  3. 09:01

  4. 20:53

  5. 19:22

  6. 18:52

  7. 16:49

  8. 16:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel