• IT-Karriere:
  • Services:

Bluebox: Sicherheitslücke in allen Android-Versionen

In Googles Mobilbetriebssystem Android ist eine Sicherheitslücke entdeckt worden. Darüber können Unbefugte Schadcode in eine App einfügen, ohne dass sich die kryptographische Signatur verändert. Eigentlich soll die Signatur genau das verhindern.

Artikel veröffentlicht am ,
Sicherheitslücke in allen Android-Versionen
Sicherheitslücke in allen Android-Versionen (Bild: Scott Akerman/Sterlic)

In allen noch in Gebrauch befindlichen Android-Versionen ist von der Sicherheitsfirma Bluebox eine Sicherheitslücke entdeckt worden. Sie ist bereits seit Android 1.6 alias Donut vorhanden. Bisher hat das Galaxy S4 von Samsung als einziges Android-Gerät ein Update erhalten, mit dem das Sicherheitsloch geschlossen wurde, wie die australische Webseite CIO berichtet.

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. Cerdia Services GmbH, Freiburg im Breisgau

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 soll Google seinerseits dann die Hersteller von Android-Geräten darüber informiert haben. In der Android-Basisversion hat Google das Sicherheitsloch bislang nicht gestopft, so dass auch alle Nexus-Modelle noch angreifbar sind. Wann Google und die anderen Hersteller von Android-Geräten entsprechende Patches veröffentlichen, ist derzeit nicht bekannt.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Bei der Installation von Android-Apps sollten Nutzer daher besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Digitale Gästelisten
    Woher kommt der Hass auf die Luca-App?
  2. 12-Volt-Batterie
    James May findet Konstruktionsfehler beim Model S
  3. DSGVO
    Fax ist nicht mehr datenschutzkonform
  4. Patentstreit
    Sonos erwirkt Verkaufsverbot für Google-Smartphones
  5. Warner plant fast 25 Filme und Serien
    Die Zukunft der DC-Helden ist rosig
Anzeige
Top-Angebote
  1. (u. a. Golf With Your Friends für 7,29€, Predator - Hunting Grounds für 28,99€, Assassin's...
  2. 69,99€ (Release 18.06.)
  3. 79,99€ (Release 18.06.)
  4. (u. a. Total War Promo (u. a. Total War: Three Kingdoms für 25,99€, Total War: Attila für 9...
Kommentarübersicht
Re: lernt endlich Sicherheit selbst zu betreiben
SIDESTRE4M 05. Jul 2013

Das ist jetzt ne Glaubensfrage, aber ich hatte mal kurz Windows Phone 7 Mango auf meinem...

Re: Kein Patch für HTC One S & Co. ?
0xDEADC0DE 05. Jul 2013

Nein, du liegst goldrichtig... leider. HTC hat das Sensation auch einfach links liegen...

Re: Eben getestet, die Gefahr ist da!
0xDEADC0DE 05. Jul 2013

Natürlich bin ich mir sicher, irgendwie müssen Flash Updates auf mein Sensation kommen.

Re: pfffff
zettifour 05. Jul 2013

So einfach ist es wohl nicht. Geht nur, wenn man das original gesicherte WLAN mit Radius...

Donut hat ein Loch
Endwickler 05. Jul 2013

Und das macht niemand raus. Wer hätte das gedacht. :-)

Folgen Sie uns
       
Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /