Abo
  • Services:

Google: Sicherheitslücke in Androids Schlüssel-Verwaltung

Die Schlüsselverwaltung von Android weist ein Sicherheitsloch auf. Der Fehler ist bereits korrigiert, aber nur in der aktuellen Android-Version. Die Mehrheit der Android-Nutzer ist weiterhin gefährdet.

Artikel veröffentlicht am ,
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen.
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen. (Bild: Nestlé)

Im Keystore-Dienst von Android haben Sicherheitsexperten von IBM Security Systems eine Sicherheitslücke entdeckt. Der Fehler erlaubt es Angreifern, an die in Android hinterlegten Sicherheitsschlüssel zu gelangen. Damit können sie unter anderem Zugang zu vertraulichen Kennwörtern erlangen. Zum Ausnutzen der Sicherheitslücke müssen Angreifer ihre Opfer verleiten, eine manipulierte App auszuführen.

Angriff per Android-App möglich

Stellenmarkt
  1. MAPAL Präzisionswerkzeuge Dr. Kress KG, Aalen
  2. DIEBOLD NIXDORF, Bonn

Die kompromittierte App muss allerdings einige Sicherheitsvorkehrungen überwinden, damit das Keystore-Sicherheitsloch ausgenutzt werden kann, so dass die Gefahr eines Angriffs gering sein dürfte. Denn um an die Keystore-Daten zu gelangen, müssen sowohl die Datenausführungsverhinderung (Data Execution Prevention, DEP) als auch die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgangen werden. ASLR soll verhindern, dass Angriffe über Pufferüberläufe möglich sind.

Nach Angaben der IBM-Experten wurde der Fehler Anfang September 2013 bemerkt und sofort vertraulich an Google gemeldet. Im November 2013 hatte Google bestätigt, dass es ein Update geben werde. Die Sicherheitsforscher haben mit der Bekanntgabe der Sicherheitslücke gewartet, bis das Update erschienen und einigermaßen verbreitet ist. Der Fehler wurde in Android 4.4 alias Kitkat beseitigt, das zwar schon vor vielen Monaten erschienen ist. Jedoch läuft Kitkat nur auf wenigen Android-Geräten.

Das Sicherheitsloch ist in allen älteren Android-Versionen, die eine Versionsnummer gleich oder kleiner als 4.3 tragen, weiterhin aktiv. Nach Erhebungen von Anfang Juni 2014 zu schließen, betrifft das 86,4 Prozent aller Android-Geräte, denn der Anteil an Geräten mit Android 4.4 lag bei lediglich 13,6 Prozent.

Neue Play-Dienste versprechen eine erhöhte Sicherheit

Künftig will Google auf solche Sicherheitslücken besser reagieren können: Mit der Bereitstellung der Play-Dienste 5.0 wird es möglich werden, dass Google Sicherheits-Patches unabhängig von der Firmware verteilt. Bisher musste dazu das gesamte Betriebssystem aktualisiert werden. Weil Google Sicherheitslücken üblicherweise nur in aktuellen Android-Versionen korrigiert, bleiben viele Geräte ungepatcht.

Allerdings ist noch unklar, ob Google nur künftige Sicherheits-Patches über die Play-Dienste 5.0 verteilt oder auch frühere.

Erst kürzlich wurde bekannt, dass viele Android-Apps geheime Schlüssel preisgeben. Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

entonjackson 01. Jul 2014

Das sagt soviel, dass Nexusse nicht wirklich einen Mehrwert haben, solange ein Gerät...

b1n0ry 30. Jun 2014

Es ist doch immer das selbe... 99% dieser wöchentlich gemeldeten Sicherheitslücken setzen...

Yes!Yes!Yes! 30. Jun 2014

Allein schon wegen der Updates bleibe ich bei Nexus.


Folgen Sie uns
       


Sony E3 2018 Pressekonferenz - Live (techn. Probleme)

Sony hatte während der Übertragung der Pressekonferenz der E3 2018 massive technische Probleme. Abseits davon waren die gezeigten Spiele aber sehr gut. Trotzdem empfehlen wir, den Abschnitt nach The Last of Us bis zu Ghost of Tsushima zu überspringen. (Minute 40-50)

Sony E3 2018 Pressekonferenz - Live (techn. Probleme) Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

    •  /