Abo
  • Services:
Anzeige
Sicherheitsloch in Android 4.3
Sicherheitsloch in Android 4.3 (Bild: Justin Sullivan/Getty Images)

Android 4.3 Apps können Sperrbildschirm-Mechanismus deaktivieren

In Android 4.3 befindet sich eine Sicherheitslücke, die es anderen Apps ermöglicht, den Sperrbildschirm-Mechanismus abzuschalten. Unbefugte könnten damit Zugriff auf die Gerätedaten erhalten, müssten dazu aber das betreffende Smartphone oder Tablet in die Hände bekommen.

Anzeige

Das deutsche Sicherheitsunternehmen Curesec hat in Android 4.3 eine Sicherheitslücke entdeckt, die bislang von Google nicht geschlossen wurde. Unbefugte können darüber den Sperrbildschirm-Mechanimus abschalten. Mit einer speziellen App lässt sich das Ausnutzen der Sicherheitslücke überprüfen respektive nachstellen. Diese App hat Curesec veröffentlicht, nachdem erste Details zu der Sicherheitslücke bereits vergangene Woche veröffentlicht wurden.

Google wurde laut Curesec im Oktober 2013 auf den Fehler hingewiesen. Ende November 2013 entschlossen sich die Sicherheitsexperten, die Sicherheitslücke öffentlich zu machen, nachdem Google auf den Bericht dazu nicht reagiert hatte.

Die Sicherheitslücke in Android 4.3 ermöglicht es einem Angreifer, einen eingerichteten Sperrbildschirm wieder abzuschalten. Wenn also der Nutzer etwa auf seinem Smartphone eine Kennwort-, PIN- oder Musterabfrage aktiviert hat, kann diese ohne Zutun des Nutzers deaktiviert werden. Das Opfer muss allerdings dazu verleitet werden, eine APK-Datei zu installieren. Und die lässt sich auch nur installieren, wenn auf dem Gerät das Installieren aus unbekannten Quellen aktiviert wurde. Das ist unter anderem erforderlich, um Android-Apps aus anderen Shops als den Play Store zu installieren.

Die von Curesec bereitgestellte Beispiel-App kann den Sperrbildschirm wahlweise sofort oder zu einem bestimmten Zeitpunkt deaktivieren. Normalerweise muss das Abschalten des Sperrbildschirm-Mechanismus mit PIN, Kennwort oder Sperrmuster bestätigt werden. Diese Abfrage wird aber übersprungen, so dass der Nutzer erstmal nicht bemerkt, wenn die Sperre abgeschaltet wird. Damit ein Unbefugter die Sicherheitslücke ausnutzen kann, braucht er direkten Zugriff auf das Gerät.

Laut Curesec ist ausschließlich Android 4.3 betroffen. Die dritte und letzte Jelly-Bean-Version ist bislang international nur wenig verbreitet. Laut den aktuellen Zahlen von Google laufen gerade mal 4,3 Prozent der Android-Geräte damit. Es wird auch erwartet, dass einige Hersteller für ihre Geräte kein Update auf Android 4.3 anbieten und es stattdessen überspringen und gleich ein Update auf das aktuelle Android 4.4 alias Kitkat verteilen.


eye home zur Startseite
Hu5eL 09. Dez 2013

Ob diese Lücke so in der Praxis wirklich ausgenutzt wird ist ein Punkt, dass sie nicht...

humpfor 04. Dez 2013

Wenn du root hast: DelayedLock! (Nutze ich und klappt super!)



Anzeige

Stellenmarkt
  1. Daimler AG, Neu-Ulm
  2. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. KirchenSoftware & Consulting, Bielefeld


Anzeige
Spiele-Angebote
  1. 49,79€
  2. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 9,99€

Folgen Sie uns
       


  1. Ronny Verhelst

    Tele-Columbus-Chef geht nach Hause

  2. Alphabet

    Google Gewinn geht wegen EU-Strafe zurück

  3. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  4. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro

  5. Linux-Distributionen

    Mehr als 90 Prozent der Debian-Pakete reproduzierbar

  6. Porsche Design

    Huaweis Porsche-Smartwatch kostet 800 Euro

  7. Smartphone

    Neues Huawei Y6 für 150 Euro bei Aldi erhältlich

  8. Nahverkehr

    18 jähriger E-Ticket-Hacker in Ungarn festgenommen

  9. Bundesinnenministerium

    Neues Online-Bürgerportal kostet 500 Millionen Euro

  10. Linux-Kernel

    Android O filtert Apps großzügig mit Seccomp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

  1. Re: Softwareunschärfe

    Flexy | 00:50

  2. Re: Steuergelder = Quellcode offenlegen

    piratentölpel | 00:31

  3. Re: Erfahrungsgemäß ist bei den Surface Laptops

    dEEkAy | 00:31

  4. Re: DSLRs?

    Flexy | 00:22

  5. Re: Es ist echt verblüfffend.....

    Patman | 00:12


  1. 23:54

  2. 22:48

  3. 16:37

  4. 16:20

  5. 15:50

  6. 15:35

  7. 14:30

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel