Google: Sicherheitslücke in Androids Schlüssel-Verwaltung
Im Keystore-Dienst von Android haben Sicherheitsexperten von IBM Security Systems(öffnet im neuen Fenster) eine Sicherheitslücke entdeckt. Der Fehler erlaubt es Angreifern, an die in Android hinterlegten Sicherheitsschlüssel zu gelangen. Damit können sie unter anderem Zugang zu vertraulichen Kennwörtern erlangen. Zum Ausnutzen der Sicherheitslücke müssen Angreifer ihre Opfer verleiten, eine manipulierte App auszuführen.
Angriff per Android-App möglich
Die kompromittierte App muss allerdings einige Sicherheitsvorkehrungen überwinden, damit das Keystore-Sicherheitsloch ausgenutzt werden kann, so dass die Gefahr eines Angriffs gering sein dürfte. Denn um an die Keystore-Daten zu gelangen, müssen sowohl die Datenausführungsverhinderung (Data Execution Prevention, DEP) als auch die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgangen werden. ASLR soll verhindern, dass Angriffe über Pufferüberläufe möglich sind.
Nach Angaben der IBM-Experten wurde der Fehler Anfang September 2013 bemerkt und sofort vertraulich an Google gemeldet. Im November 2013 hatte Google bestätigt, dass es ein Update geben werde. Die Sicherheitsforscher haben mit der Bekanntgabe der Sicherheitslücke gewartet, bis das Update erschienen und einigermaßen verbreitet ist. Der Fehler wurde in Android 4.4 alias Kitkat beseitigt, das zwar schon vor vielen Monaten erschienen ist. Jedoch läuft Kitkat nur auf wenigen Android-Geräten.
Das Sicherheitsloch ist in allen älteren Android-Versionen, die eine Versionsnummer gleich oder kleiner als 4.3 tragen, weiterhin aktiv. Nach Erhebungen von Anfang Juni 2014 zu schließen, betrifft das 86,4 Prozent aller Android-Geräte , denn der Anteil an Geräten mit Android 4.4 lag bei lediglich 13,6 Prozent.
Neue Play-Dienste versprechen eine erhöhte Sicherheit
Künftig will Google auf solche Sicherheitslücken besser reagieren können: Mit der Bereitstellung der Play-Dienste 5.0 wird es möglich werden, dass Google Sicherheits-Patches unabhängig von der Firmware verteilt. Bisher musste dazu das gesamte Betriebssystem aktualisiert werden. Weil Google Sicherheitslücken üblicherweise nur in aktuellen Android-Versionen korrigiert, bleiben viele Geräte ungepatcht.
Allerdings ist noch unklar, ob Google nur künftige Sicherheits-Patches über die Play-Dienste 5.0 verteilt oder auch frühere.
Erst kürzlich wurde bekannt, dass viele Android-Apps geheime Schlüssel preisgeben . Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen.