Android: Google wusste von falsch ausgelesenen QR-Codes

Der kanadische Sicherheitsforscher Louis Dion-Marcil hat Google bereits im Frühjahr 2021 darauf hingewiesen, dass Googles Kamera-App QR-Codes falsch ausliest. In einer Antwort hatte Google ihm erklärt, dass der Fehler nicht für wichtig genug gehalten würde, um ihn zu beseitigen.

Eine Analyse hatte in den vergangenen Tagen gezeigt, dass die in den Codes enthaltenen Webadressen von der Kamera der Pixel-Smartphones verändert wurden. Dadurch steuern Nutzer mitunter Seiten mit komplett anderen Domains an, was theoretisch ein Sicherheitsrisiko sein kann.

Wie Heise.de berichtet, wurden in einer weitergehenden Analyse nun weitere Smartphone-Modelle gefunden, auf denen der Fehler zu finden ist. Dazu gehören Oneplus-Geräte sowie Pixel-Smartphones, die mit Android 11 laufen. Bislang ging man davon aus, dass der Fehler nur bei Geräten mit Android 12 auftritt. Ein Oneplus-Smartphone mit LineageOS zeigte den Fehler nicht.

Termine werden falsch in den Kalender kopiert

Außerdem wurde ein weiterer Fehler beim Scan von QR-Codes entdeckt: Termine werden falsch in den Kalender übernommen. Der gescannte Termin wird einen Monat später eingetragen als der tatsächliche Termin.

Google hat mittlerweile Updates veröffentlicht, sowohl für seine Kamera-App als auch für Google Lens. Die Lens-App soll mittlerweile korrekte Scans ermöglichen - hier erfolgte das Update serverseitig bei Google. Die Kamera-App hat ein Update im Play Store für alle Pixel-Geräte mit Android 12 bekommen. Dank der Aktualisierung sollen Webadressen nun korrekt eingescannt werden.

Das Update beseitigt das QR-Scan-Problem aber nur teilweise: Heise zufolge werden Kalendereinträge weiterhin falsch ausgelesen und zeitversetzt übernommen. Immerhin ist das kein potenzielles Sicherheitsrisiko.