Abo
  • Services:

Bluebox: Sicherheitslücke in allen Android-Versionen

In Googles Mobilbetriebssystem Android ist eine Sicherheitslücke entdeckt worden. Darüber können Unbefugte Schadcode in eine App einfügen, ohne dass sich die kryptographische Signatur verändert. Eigentlich soll die Signatur genau das verhindern.

Artikel veröffentlicht am ,
Sicherheitslücke in allen Android-Versionen
Sicherheitslücke in allen Android-Versionen (Bild: Scott Akerman/Sterlic)

In allen noch in Gebrauch befindlichen Android-Versionen ist von der Sicherheitsfirma Bluebox eine Sicherheitslücke entdeckt worden. Sie ist bereits seit Android 1.6 alias Donut vorhanden. Bisher hat das Galaxy S4 von Samsung als einziges Android-Gerät ein Update erhalten, mit dem das Sicherheitsloch geschlossen wurde, wie die australische Webseite CIO berichtet.

Stellenmarkt
  1. ABB AG, Frankfurt am Main, Mannheim, Ratingen
  2. HUK-COBURG Versicherungsgruppe, Coburg

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 soll Google seinerseits dann die Hersteller von Android-Geräten darüber informiert haben. In der Android-Basisversion hat Google das Sicherheitsloch bislang nicht gestopft, so dass auch alle Nexus-Modelle noch angreifbar sind. Wann Google und die anderen Hersteller von Android-Geräten entsprechende Patches veröffentlichen, ist derzeit nicht bekannt.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Bei der Installation von Android-Apps sollten Nutzer daher besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.



Anzeige
Blu-ray-Angebote

SIDESTRE4M 05. Jul 2013

Das ist jetzt ne Glaubensfrage, aber ich hatte mal kurz Windows Phone 7 Mango auf meinem...

0xDEADC0DE 05. Jul 2013

Nein, du liegst goldrichtig... leider. HTC hat das Sensation auch einfach links liegen...

0xDEADC0DE 05. Jul 2013

Natürlich bin ich mir sicher, irgendwie müssen Flash Updates auf mein Sensation kommen.

zettifour 05. Jul 2013

So einfach ist es wohl nicht. Geht nur, wenn man das original gesicherte WLAN mit Radius...

Endwickler 05. Jul 2013

Und das macht niemand raus. Wer hätte das gedacht. :-)


Folgen Sie uns
       


V-Rally 4 - Golem.de live

Michael schaut sich die PC-Version von V-Rally 4 an, die in einigen Punkten deutlich besser ist als die Konsolenfassung.

V-Rally 4 - Golem.de live Video aufrufen
Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


      •  /