Sicherheitslücke im Betriebssystem – Fast alle Android-Smartphones betroffen

Sicherheitsluecke im Android Betriebssystem betrifft Signaturen

Das US-amerikanische Sicherheitsunternehmen Bluebox Security hat eine Sicherheitslücke in dem Smartphone-Betriebssystem Android entdeckt. Der Android Bug 8219321 soll bereits seit der Android-Version 1.6 (Codename Donut) bestehen, die im Jahr 2009 veröffentlicht wurde und auch alle folgenden Versionen betreffen. Demnach besteht die Sicherheitslücke auf etwa 900 Millionen Android-Geräten.

Der Bug sorgt dafür, dass sich Schadsoftware in eigentlich seriösen Apps verstecken kann und installiert wird, ohne dass Android davor warnt. Programmierer vergeben für ihre Apps nämlich eine kryptografische Signatur. Wird die App installiert, prüft Android zunächst, ob die Signaturen der des Originals entspricht oder ob die App manipuliert wurde. Durch die Sicherheitslücke ist es aber möglich, den Code der apk-Dateien zu ändern, ohne die Signatur zu verändern, sodass Android die Manipulation nicht erkennt. Dadurch können Schadprogramme in das Betriebssystem eingeschleust werden, auch mit Systemanwendungen mit speziellen Rechten.

Google als Entwickler des Betriebssystems Android wurde bereits im Februar auf die Sicherheitslücke hingewiesen. Es sind jedoch die Gerätehersteller, die entsprechende Updates an die Nutzer der Endgeräte ausliefern müssen. Besitzer eines Smartphones oder Tablets mit Android-Betriebssystem sollten Apps nur aus vertrauenswürdigen Quellen installieren. Dazu zählt insbesondere der Google Play Store, in dem die zum Download angebotenen Apps durch Google überprüft werden. Der Download und die Installation von .apk-Dateien aus unbekannten Quellen in dem Internet sind eine nicht zu unterschätzende Gefahrenquelle. Das ist ein Ratschlag, der offensichtlich nicht oft genug wiederholt werden kann.

Update vom 09.07.2013

Gegenüber ZDNet hat die Google-Pressesprecherin Gina Scigliano gesagt, Google habe ein Patch an die Hardware-Hersteller verteilt, das die Sicherheitslücke schliesst. Der Hersteller Samsung hat bereits mit der Auslieferung im Rahmen eines Updates begonnen.
Ab der Version CM7 des alternativen Android-Betriebssystems CyanogenMod ist die Lücke bereits geschlossen worden. Die Updates sind auf den Servern verfügbar.

Update vom 10.07.2013

Bluebox Security bietet nun eine App an, den kostenlosen Bluebox Security Scanner, die das Android-Gerät des Nutzers hinsichtlich des Bugs untersucht, eventuell bereits diese Sicherheitslücke ausnutzende Schadprogramme erkennen soll und warnt, wenn die Android-Einstellungen Installationen von Nicht-Market-Downloads ermöglicht.

Update vom 17.07.2013

Für Android-Smartphones mit Root-Zugriff bietet das Sicherheitsunternehmen Dou Sec das in Zusammenarbeit mit der Bostener Northeastern University entwickelte Patch ReKey an. Es soll die Schwachstelle schliessen und zusätzlich melden, falls eine App versucht, die Schwachstelle auszunutzen.
Wie bereits beschrieben, ist die Lücke in den neuen Versionen des Android-Ablegers CyanogenMod mit dem von Google für Android bereit gestellten Patch bereits geschlossen worden.
Für Android-Geräte ohne Root-Zugriff ist die Sicherheits-App G Data MobileSecurity Version 2 eine Möglichkeit, die das Sicherheitsunternehmen G Data anbietet.

Update vom 26.07.2013

Die Sicherheitsexperten von Symantec haben Apps entdeckt, die die sogenannte Masterkey-Lücke ausnutzen. Bisher sind die Apps allerdings nur in asiatischen Markets aufgetaucht.

Weitere Informationen

Smartphone und Tablet Ratgeber

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Kritische Windows-Sicherheitslücke – Nutzer sollten schnell handeln

Kritische Windows-Sicherheitslücke

Nutzer sollten schnell handeln

Alle gängigen Versionen des beliebten Windows-Betriebssystems sind von einer massiven Sicherheitslücke betroffen. Diese ermöglicht es potenziellen Angreifern, den Computer per Fernzugriff zu übernehmen. Mittlerweile wurde die kritische Schwachstelle mit der Bezeichnung CVE-2025-47981 von Microsoft geschlossen. […]

Neue EU-Verordnung - Überweisungen, besserer Schutz vor Betrügern

Neue EU-Verordnung

Überweisungen, besserer Schutz vor Betrügern

Betrüger nutzten eine Lücke beim Datenabgleich bei Überweisungen, um an das Geld ihrer Opfer zu gelangen. Eine EU-Verordnung soll dieses Vorgehen unterbinden. Denn ab dann gibt es eine Pflicht zum Abgleich zwischen der IBAN und der Empfängeradresse bei Online- und Offline-Überweisungen. […]

Designtricks beim Webdesign – so beeinflussen uns Dark Patterns

Designtricks beim Webdesign

So beeinflussen uns Dark Patterns

Warum klickt man plötzlich doch auf „Kaufen“, obwohl man nur schauen wollte? Hinter solchen Entscheidungen stecken oft gezielte Designtricks: sogenannte Dark Patterns. Dieser Artikel zeigt, wie sie funktionieren – und wie du sie erkennst. […]

Sterben Emojis aus? – Gen Z entwickelt ihre ganz eigene Symbolsprache

Sterben Emojis aus?

Gen Z entwickelt ihre ganz eigene Symbolsprache

Emojis können unterschiedliche Emotionen ausdrücken, je nachdem, von wem sie verwendet werden. Das zeigt, dass die Darstellungen längst einem generationsspezifischen Wandel unterliegen, was das Potenzial für Missverständnisse speziell zwischen den verschiedenen Generationen birgt. […]

Neues Messverfahren - So prüft die Bundesnetzagentur den Handy­empfang

Neues Messverfahren

So prüft die Bundesnetzagentur den Handy­empfang

Die Bundesnetzagentur startet ein neues Handy-Messsystem: Acht Smartphones ermitteln im Straßen­verkehr die tatsächliche Surf­geschwindigkeit und Sprach­qualität aller Netzanbieter. Kommunen und Dienstleister können mitmessen – ein wichtiger Schritt zu besserem Mobilfunk für alle. […]

Das Nothing Phone 3 ist endlich da – neues Design mit „Glyph Matrix“

Das Nothing Phone 3 ist endlich da

Neues Design mit „Glyph Matrix“

Nach zwei Jahren Wartezeit ist das neue Nothing Phone 3 endlich da. Besonders die sogenannte „Glyph Matrix“ auf der Rückseite fällt bei dem Smartphone ins Auge. Mit der neuen Generation wagt das junge britische Unternehmen einen Vorstoß in das High-End-Segment. […]