Mobile Computing: Exploit-Code für Android-Sicherheitslücke veröffentlicht
Sicherheitslücke in allen Android-Versionen (Bild: Scott Akerman/Sterlic)

Mobile Computing Exploit-Code für Android-Sicherheitslücke veröffentlicht

Für die aktuelle Android-Sicherheitslücke ist Exploit-Code veröffentlicht worden. Damit lässt sich eine bestehende Installationsdatei modifizieren und mit Schadroutinen versehen. Zudem wurde eine Freeware veröffentlicht, mit der sich das eigene Android-Gerät überprüfen lässt.

Anzeige

Für die in der vergangenen Woche bekanntgewordene Android-Sicherheitslücke hat der spanische Sicherheitsexperte Pau Oliva Fora auf Github Exploit-Code veröffentlicht. Damit lässt sich eine bestehende Android-Installationsdatei mit Schadcode versehen. Ein Angreifer muss nun nur noch das potenzielle Opfer dazu bringen, die fragliche Datei zu installieren, dann kann sich der Unbefugte einen umfangreichen Zugriff auf das Gerät verschaffen.

Entdeckt wurde das Sicherheitsloch von der Sicherheitsfirma Bluebox, die mittlerweile die Freeware Bluebox Security Scanner im Play Store und auch in Amazons Appstore veröffentlicht hat. Mit der App sollen Besitzer eines Android-Geräts prüfen können, ob die Sicherheitslücke bereits geschlossen wurde. Außerdem können die auf dem Gerät installierten Apps daraufhin überprüft werden, ob diese Schadcode enthalten, der mit der Sicherheitslücke ausgenutzt werden kann.

Alle Android-Versionen betroffen

Das von Bluebox entdeckte Sicherheitsloch befindet sich in allen in Gebrauch befindlichen Android-Versionen, denn der Fehler ist seit Android 1.6 alias Donut in Googles Mobilbetriebssystem vorhanden.

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 will Google seinerseits dann die Gerätehersteller von Android-Geräten mit Patches versorgt haben, hat allerdings selbst noch keine Updates für die Nexus-Geräte veröffentlicht. Bisher soll es lediglich für das Galaxy S4 von Samsung einen Patch geben, der das Sicherheitsloch stopft. Derzeit ist nicht bekannt, wann Google und die anderen Hersteller von Android-Geräten entsprechende Updates dafür veröffentlichen.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Bei der Installation von Android-Apps sollten Nutzer vorerst besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.


Lala Satalin... 11. Jul 2013

Das ist dann ein Hardwareproblem gewesen. Viele Leute, die ich kenne hatten mit WM6...

Bouncy 10. Jul 2013

Und was ist dann für dich "Produktivumgebung"? Wenn du dich auf das Gerät verlassen mußt...

Versuchsperson 10. Jul 2013

Logisch! Das sind Koreaner! ;-) Ist aber in der Tat extrem nervig das man die als...

ShadowStyle 10. Jul 2013

@xviper Ich bin der Meinung das Sony das genau wie Samsung alleine festgestellt und...

Kommentieren



Anzeige

  1. Software-Entwickler Java / JavaScript (m/w)
    TONBELLER AG, Bensheim
  2. Abteilungsleiter/in
    Robert Bosch GmbH, Renningen
  3. Java Entwickler/in
    Robert Bosch Car Multimedia GmbH, Hildesheim
  4. Systemadministrator (m/w) Windows
    KDO Personaldienste, Oldenburg

 

Detailsuche


Folgen Sie uns
       


  1. Nocomentator

    Filterkiste blendet Sportkommentare aus

  2. Gameworks

    Nvidia rollt den Rasen aus

  3. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  4. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  5. Wildstar

    NC Soft entlässt Mitarbeiter

  6. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  7. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  8. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  9. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch

  10. Xamarin

    C# dank Mono für die Unreal Engine 4



Haben wir etwas übersehen?

E-Mail an news@golem.de



Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

Merkel auf IT-Gipfel: Netzneutralität wird erst im Glasfasernetz wichtig
Merkel auf IT-Gipfel
Netzneutralität wird erst im Glasfasernetz wichtig
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

Hoverboard: Schweben wie Marty McFly
Hoverboard
Schweben wie Marty McFly
  1. Design-Fahrzeuge U-Bahnen in London sollen autonom fahren
  2. Fahrassistenzsystem Volvos virtueller Lkw-Beifahrer soll Unfälle verhindern
  3. Computergrafik US-Forscher modellieren Gesichter in Videos dreidimensional

    •  / 
    Zum Artikel