Abo
  • Services:
Anzeige
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen.
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen. (Bild: Nestlé)

Google: Sicherheitslücke in Androids Schlüssel-Verwaltung

Die Schlüsselverwaltung von Android weist ein Sicherheitsloch auf. Der Fehler ist bereits korrigiert, aber nur in der aktuellen Android-Version. Die Mehrheit der Android-Nutzer ist weiterhin gefährdet.

Anzeige

Im Keystore-Dienst von Android haben Sicherheitsexperten von IBM Security Systems eine Sicherheitslücke entdeckt. Der Fehler erlaubt es Angreifern, an die in Android hinterlegten Sicherheitsschlüssel zu gelangen. Damit können sie unter anderem Zugang zu vertraulichen Kennwörtern erlangen. Zum Ausnutzen der Sicherheitslücke müssen Angreifer ihre Opfer verleiten, eine manipulierte App auszuführen.

Angriff per Android-App möglich

Die kompromittierte App muss allerdings einige Sicherheitsvorkehrungen überwinden, damit das Keystore-Sicherheitsloch ausgenutzt werden kann, so dass die Gefahr eines Angriffs gering sein dürfte. Denn um an die Keystore-Daten zu gelangen, müssen sowohl die Datenausführungsverhinderung (Data Execution Prevention, DEP) als auch die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgangen werden. ASLR soll verhindern, dass Angriffe über Pufferüberläufe möglich sind.

Nach Angaben der IBM-Experten wurde der Fehler Anfang September 2013 bemerkt und sofort vertraulich an Google gemeldet. Im November 2013 hatte Google bestätigt, dass es ein Update geben werde. Die Sicherheitsforscher haben mit der Bekanntgabe der Sicherheitslücke gewartet, bis das Update erschienen und einigermaßen verbreitet ist. Der Fehler wurde in Android 4.4 alias Kitkat beseitigt, das zwar schon vor vielen Monaten erschienen ist. Jedoch läuft Kitkat nur auf wenigen Android-Geräten.

Das Sicherheitsloch ist in allen älteren Android-Versionen, die eine Versionsnummer gleich oder kleiner als 4.3 tragen, weiterhin aktiv. Nach Erhebungen von Anfang Juni 2014 zu schließen, betrifft das 86,4 Prozent aller Android-Geräte, denn der Anteil an Geräten mit Android 4.4 lag bei lediglich 13,6 Prozent.

Neue Play-Dienste versprechen eine erhöhte Sicherheit

Künftig will Google auf solche Sicherheitslücken besser reagieren können: Mit der Bereitstellung der Play-Dienste 5.0 wird es möglich werden, dass Google Sicherheits-Patches unabhängig von der Firmware verteilt. Bisher musste dazu das gesamte Betriebssystem aktualisiert werden. Weil Google Sicherheitslücken üblicherweise nur in aktuellen Android-Versionen korrigiert, bleiben viele Geräte ungepatcht.

Allerdings ist noch unklar, ob Google nur künftige Sicherheits-Patches über die Play-Dienste 5.0 verteilt oder auch frühere.

Erst kürzlich wurde bekannt, dass viele Android-Apps geheime Schlüssel preisgeben. Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen.


eye home zur Startseite
entonjackson 01. Jul 2014

Das sagt soviel, dass Nexusse nicht wirklich einen Mehrwert haben, solange ein Gerät...

b1n0ry 30. Jun 2014

Es ist doch immer das selbe... 99% dieser wöchentlich gemeldeten Sicherheitslücken setzen...

Yes!Yes!Yes! 30. Jun 2014

Allein schon wegen der Updates bleibe ich bei Nexus.



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Frankfurt am Main
  2. PTV GROUP, Karlsruhe
  3. GOM GmbH, Braunschweig
  4. Scout24 AG, München


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 5,99€ FSK 18
  3. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. DSM 6.1

    Synology bringt Btrfs auf mehr alte NAS-Systeme

  2. Mobilfunk

    Telefónica verspricht Verbesserungen bei der Netzperformance

  3. Neue Version für Smartphones

    Remix OS wird zum Continuum-Konkurrent

  4. Ford

    Automatisiertes Fahren ist einschläfernd

  5. Sony SF-G

    SD-Karte liest und schreibt mit fast 300 MByte/s

  6. Wacoms Intuos Pro Paper im Test

    Weg mit digital, her mit Stift und Papier!

  7. Lieferwagen

    Elektro-Lkw von MAN sollen in Städten fahren

  8. Knirschen und Klemmen

    Macbook Pro 2016 mit Tastaturproblemen

  9. Mobiler Startplatz

    UPS-Lieferwagen liefert mit Drohne Pakete aus

  10. WLAN to Go

    Telekom-Hotspots waren für Fremdsurfer anfällig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Ich bin ja kein Aluhut-Träger...

    tearcatcher | 11:51

  2. Re: Biete Job für Linux-Profi in Bremen

    bjs | 11:51

  3. Re: America first!

    Flexy | 11:51

  4. Re: Ich liebe das Fahren

    StaTiC2206 | 11:50

  5. Re: DownloadbääääH

    countzero | 11:50


  1. 11:51

  2. 11:44

  3. 11:31

  4. 11:23

  5. 10:45

  6. 09:07

  7. 07:31

  8. 07:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel