Abo
  • Services:
Anzeige
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen.
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen. (Bild: Nestlé)

Google: Sicherheitslücke in Androids Schlüssel-Verwaltung

Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen.
Das Keystore-Sicherheitsloch wurde in Android 4.4 geschlossen. (Bild: Nestlé)

Die Schlüsselverwaltung von Android weist ein Sicherheitsloch auf. Der Fehler ist bereits korrigiert, aber nur in der aktuellen Android-Version. Die Mehrheit der Android-Nutzer ist weiterhin gefährdet.

Im Keystore-Dienst von Android haben Sicherheitsexperten von IBM Security Systems eine Sicherheitslücke entdeckt. Der Fehler erlaubt es Angreifern, an die in Android hinterlegten Sicherheitsschlüssel zu gelangen. Damit können sie unter anderem Zugang zu vertraulichen Kennwörtern erlangen. Zum Ausnutzen der Sicherheitslücke müssen Angreifer ihre Opfer verleiten, eine manipulierte App auszuführen.

Anzeige

Angriff per Android-App möglich

Die kompromittierte App muss allerdings einige Sicherheitsvorkehrungen überwinden, damit das Keystore-Sicherheitsloch ausgenutzt werden kann, so dass die Gefahr eines Angriffs gering sein dürfte. Denn um an die Keystore-Daten zu gelangen, müssen sowohl die Datenausführungsverhinderung (Data Execution Prevention, DEP) als auch die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgangen werden. ASLR soll verhindern, dass Angriffe über Pufferüberläufe möglich sind.

Nach Angaben der IBM-Experten wurde der Fehler Anfang September 2013 bemerkt und sofort vertraulich an Google gemeldet. Im November 2013 hatte Google bestätigt, dass es ein Update geben werde. Die Sicherheitsforscher haben mit der Bekanntgabe der Sicherheitslücke gewartet, bis das Update erschienen und einigermaßen verbreitet ist. Der Fehler wurde in Android 4.4 alias Kitkat beseitigt, das zwar schon vor vielen Monaten erschienen ist. Jedoch läuft Kitkat nur auf wenigen Android-Geräten.

Das Sicherheitsloch ist in allen älteren Android-Versionen, die eine Versionsnummer gleich oder kleiner als 4.3 tragen, weiterhin aktiv. Nach Erhebungen von Anfang Juni 2014 zu schließen, betrifft das 86,4 Prozent aller Android-Geräte, denn der Anteil an Geräten mit Android 4.4 lag bei lediglich 13,6 Prozent.

Neue Play-Dienste versprechen eine erhöhte Sicherheit

Künftig will Google auf solche Sicherheitslücken besser reagieren können: Mit der Bereitstellung der Play-Dienste 5.0 wird es möglich werden, dass Google Sicherheits-Patches unabhängig von der Firmware verteilt. Bisher musste dazu das gesamte Betriebssystem aktualisiert werden. Weil Google Sicherheitslücken üblicherweise nur in aktuellen Android-Versionen korrigiert, bleiben viele Geräte ungepatcht.

Allerdings ist noch unklar, ob Google nur künftige Sicherheits-Patches über die Play-Dienste 5.0 verteilt oder auch frühere.

Erst kürzlich wurde bekannt, dass viele Android-Apps geheime Schlüssel preisgeben. Tausende Android-Apps betten eigentlich geheime Zugangsschlüssel direkt in ihren Quellcode ein. Mit Hilfe der Schlüssel können Angreifer an private Daten von App-Nutzern kommen oder die Server-Infrastruktur der Entwickler übernehmen.


eye home zur Startseite
entonjackson 01. Jul 2014

Das sagt soviel, dass Nexusse nicht wirklich einen Mehrwert haben, solange ein Gerät...

b1n0ry 30. Jun 2014

Es ist doch immer das selbe... 99% dieser wöchentlich gemeldeten Sicherheitslücken setzen...

Yes!Yes!Yes! 30. Jun 2014

Allein schon wegen der Updates bleibe ich bei Nexus.



Anzeige

Stellenmarkt
  1. GDS GmbH, Hamburg
  2. Kreis Herford, Herford
  3. Robert Bosch GmbH, Leonberg
  4. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München


Anzeige
Spiele-Angebote
  1. (-72%) 5,55€
  2. 1,29€

Folgen Sie uns
       


  1. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  2. Cloud

    AWS bringt den Appstore für Serverless-Software

  3. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  4. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  5. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  6. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  7. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  8. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  9. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro

  10. Reverse Engineering

    Das Xiaomi-Ökosystem vom Hersteller befreien



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Smach Z PC-Handheld nutzt Ryzen V1000
  2. Ryzen V1000 und Epyc 3000 AMD bringt Zen-Architektur für den Embedded-Markt
  3. Raven Ridge AMD verschickt CPUs für UEFI-Update

  1. Re: Noch nie einen Fahrer gehabt der eine Karte...

    amk | 05:21

  2. Re: Political correctness jetzt auch im Wettbewerb?

    HorkheimerAnders | 04:29

  3. Re: Schuster, bleib bei deinem Leisten.

    bombinho | 02:56

  4. Re: Meine Ansicht zu dem Ganzen:

    tangonuevo | 02:48

  5. Re: maximaler Azimut ist minimale Inklination

    nkdvhn | 02:18


  1. 17:17

  2. 16:50

  3. 16:05

  4. 15:45

  5. 15:24

  6. 14:47

  7. 14:10

  8. 13:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel