Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Logo von MWR Labs

Smartphones

Sicherheitslücken in Android und WebOS

Sowohl in Googles Android als auch in Palms WebOS wurden Sicherheitslücken gefunden, die vom Hersteller bereits geschlossen wurden. Aber nicht allen Gerätebesitzern steht bereits das notwendige Update bereit, vor allem die meisten Android-Smartphones bleiben anfällig für Angriffe.

In Android hat das britische Sicherheitsunternehmen MWR Labs ein Sicherheitsleck gefunden. Und zwar merkt sich die Webkit-Engine Zugangsdaten und Kennwörter dauerhaft. Durch Einschleusung von Schadcode in den Browser konnten diese Daten dann ausgelesen werden, berichtet PCPro.co.uk. Da der Fehler in der Webkit-Engine steckt, könnte er auch WebOS oder iOS betreffen, die beide ebenfalls Webkit nutzen. Nähere Angaben dazu liegen aber nicht vor.

Offenes Sicherheitsloch in fast allen Android-Smartphones

Im Gespräch erklärte Alex Fidgen, Director von MWR Labs, dass Google beide Fehler in Android 2.2 beseitigt habe. Genau Angaben von Google gibt es dazu nicht. Alle früheren Android-Versionen seien hingegen weiterhin von den Fehlern betroffen. Das bedeutet, dass beide Sicherheitslücken auf über 95 Prozent der am Markt befindlichen Android-Smartphones weiterhin ausgenutzt werden können. Denn nach aktuellen Google-Angaben wird Android 2.2 erst auf 4,5 Prozent der Android-Smartphones verwendet. Die Mehrzahl der am Markt befindlichen Geräte wartet noch auf ein Update, bisher gibt es in Deutschland Android 2.2 nur für das Nexus One und das HTC Desire.

In WebOS haben die Sicherheitsexperten ein Sicherheitsleck gefunden, das sich über eine manipulierte vCard ausnutzen lässt. Öffnet der Besitzer die etwa per SMS empfangene vCard, kann der Angreifer vollen Zugriff auf das Gerät erhalten. Mit WebOS 1.4.5 wurde dieses Sicherheitsleck geschlossen, teilte Palm mit. Im Interview beklagte sich Fidgen hingegen, dass Palm MWR Labs nicht informiert habe, ob das Sicherheitsleck geschlossen wurde. Allerdings hatte MRW Labs via Webseite im Juli 2010 selbst darauf hingewiesen, dass die Sicherheitslücke in WebOS 1.4.5 beseitigt wurde.

Sicherheitsloch in WebOS für deutsche Nutzer geschlossen

In Deutschland sollten auch alle Pre- und Pixi-Modelle mit WebOS 1.4.5 versehen sein. Aber international ist WebOS 1.4.5 noch nicht überall erschienen. In den USA erhielten Sprint-Kunden erst in dieser Woche das Update auf WebOS 1.4.5. Wer sein WebOS-Gerät bei AT&T oder Verizon gekauft hat, muss weiter auf WebOS 1.4.5 warten.

Die Verteilung von WebOS 1.4.5 hatte sich verzögert, weil Palm einen Fehler bei der Ausführung von PDK-Applikationen gefunden, diesen aber nicht mehr korrigiert hatte. Erst mit der nächsten WebOS-Version wird dieser Fehler also korrigiert.