Google: Sicherheitslücke in Androids Schlüssel-Verwaltung

Die Schlüsselverwaltung von Android weist ein Sicherheitsloch auf. Der Fehler ist bereits korrigiert, aber nur in der aktuellen Android-Version. Die Mehrheit der Android-Nutzer ist weiterhin gefährdet.

Artikel veröffentlicht am ,
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen.
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen. (Bild: Nestlé)

Im Keystore-Dienst von Android haben Sicherheitsexperten von IBM Security Systems eine Sicherheitslücke entdeckt. Der Fehler erlaubt es Angreifern, an die in Android hinterlegten Sicherheitsschlüssel zu gelangen. Damit können sie unter anderem Zugang zu vertraulichen Kennwörtern erlangen. Zum Ausnutzen der Sicherheitslücke müssen Angreifer ihre Opfer verleiten, eine manipulierte App auszuführen.

Angriff per Android-App möglich

Stellenmarkt
  1. BI-Manager (w/m/d)
    VGH Versicherungen, Hannover
  2. (Junior-) Referent (m/w/d) für das Anwendungsmanagement im Team IT-Management und Services
    Taunus Sparkasse, Bad Homburg vor der Höhe
Detailsuche

Die kompromittierte App muss allerdings einige Sicherheitsvorkehrungen überwinden, damit das Keystore-Sicherheitsloch ausgenutzt werden kann, so dass die Gefahr eines Angriffs gering sein dürfte. Denn um an die Keystore-Daten zu gelangen, müssen sowohl die Datenausführungsverhinderung (Data Execution Prevention, DEP) als auch die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgangen werden. ASLR soll verhindern, dass Angriffe über Pufferüberläufe möglich sind.

Nach Angaben der IBM-Experten wurde der Fehler Anfang September 2013 bemerkt und sofort vertraulich an Google gemeldet. Im November 2013 hatte Google bestätigt, dass es ein Update geben werde. Die Sicherheitsforscher haben mit der Bekanntgabe der Sicherheitslücke gewartet, bis das Update erschienen und einigermaßen verbreitet ist. Der Fehler wurde in Android 4.4 alias Kitkat beseitigt, das zwar schon vor vielen Monaten erschienen ist. Jedoch läuft Kitkat nur auf wenigen Android-Geräten.

Das Sicherheitsloch ist in allen älteren Android-Versionen, die eine Versionsnummer gleich oder kleiner als 4.3 tragen, weiterhin aktiv. Nach Erhebungen von Anfang Juni 2014 zu schließen, betrifft das 86,4 Prozent aller Android-Geräte, denn der Anteil an Geräten mit Android 4.4 lag bei lediglich 13,6 Prozent.

Neue Play-Dienste versprechen eine erhöhte Sicherheit

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Künftig will Google auf solche Sicherheitslücken besser reagieren können: Mit der Bereitstellung der Play-Dienste 5.0 wird es möglich werden, dass Google Sicherheits-Patches unabhängig von der Firmware verteilt. Bisher musste dazu das gesamte Betriebssystem aktualisiert werden. Weil Google Sicherheitslücken üblicherweise nur in aktuellen Android-Versionen korrigiert, bleiben viele Geräte ungepatcht.

Allerdings ist noch unklar, ob Google nur künftige Sicherheits-Patches über die Play-Dienste 5.0 verteilt oder auch frühere.

Erst kürzlich wurde bekannt, dass viele Android-Apps geheime Schlüssel preisgeben. Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /