Abo
  • Services:

Mobile Computing: Exploit-Code für Android-Sicherheitslücke veröffentlicht

Für die aktuelle Android-Sicherheitslücke ist Exploit-Code veröffentlicht worden. Damit lässt sich eine bestehende Installationsdatei modifizieren und mit Schadroutinen versehen. Zudem wurde eine Freeware veröffentlicht, mit der sich das eigene Android-Gerät überprüfen lässt.

Artikel veröffentlicht am ,
Sicherheitslücke in allen Android-Versionen
Sicherheitslücke in allen Android-Versionen (Bild: Scott Akerman/Sterlic)

Für die in der vergangenen Woche bekanntgewordene Android-Sicherheitslücke hat der spanische Sicherheitsexperte Pau Oliva Fora auf Github Exploit-Code veröffentlicht. Damit lässt sich eine bestehende Android-Installationsdatei mit Schadcode versehen. Ein Angreifer muss nun nur noch das potenzielle Opfer dazu bringen, die fragliche Datei zu installieren, dann kann sich der Unbefugte einen umfangreichen Zugriff auf das Gerät verschaffen.

Stellenmarkt
  1. Robert Krick Verlag GmbH + Co. KG, Eibelstadt
  2. Oldendorff Carriers GmbH & Co. KG, Lübeck

Entdeckt wurde das Sicherheitsloch von der Sicherheitsfirma Bluebox, die mittlerweile die Freeware Bluebox Security Scanner im Play Store und auch in Amazons Appstore veröffentlicht hat. Mit der App sollen Besitzer eines Android-Geräts prüfen können, ob die Sicherheitslücke bereits geschlossen wurde. Außerdem können die auf dem Gerät installierten Apps daraufhin überprüft werden, ob diese Schadcode enthalten, der mit der Sicherheitslücke ausgenutzt werden kann.

Alle Android-Versionen betroffen

Das von Bluebox entdeckte Sicherheitsloch befindet sich in allen in Gebrauch befindlichen Android-Versionen, denn der Fehler ist seit Android 1.6 alias Donut in Googles Mobilbetriebssystem vorhanden.

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 will Google seinerseits dann die Gerätehersteller von Android-Geräten mit Patches versorgt haben, hat allerdings selbst noch keine Updates für die Nexus-Geräte veröffentlicht. Bisher soll es lediglich für das Galaxy S4 von Samsung einen Patch geben, der das Sicherheitsloch stopft. Derzeit ist nicht bekannt, wann Google und die anderen Hersteller von Android-Geräten entsprechende Updates dafür veröffentlichen.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Bei der Installation von Android-Apps sollten Nutzer vorerst besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Lala Satalin... 11. Jul 2013

Das ist dann ein Hardwareproblem gewesen. Viele Leute, die ich kenne hatten mit WM6...

Bouncy 10. Jul 2013

Und was ist dann für dich "Produktivumgebung"? Wenn du dich auf das Gerät verlassen mußt...

Anonymer Nutzer 10. Jul 2013

Logisch! Das sind Koreaner! ;-) Ist aber in der Tat extrem nervig das man die als...

ShadowStyle 10. Jul 2013

@xviper Ich bin der Meinung das Sony das genau wie Samsung alleine festgestellt und...


Folgen Sie uns
       


HTC U12 Life - Hands on (Ifa 2018)

HTC hat mit dem U12 Life ein neues Mittelklasse-Smartphone vorgestellt, das besonders durch die gravierte Glasrückseite auffällt. Golem.de konnte sich das Gerät vor dem Marktstart anschauen.

HTC U12 Life - Hands on (Ifa 2018) Video aufrufen
Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

    •  /