Sicherheitslücke im Betriebssystem – Fast alle Android-Smartphones betroffen

Sicherheitsluecke im Android Betriebssystem betrifft Signaturen

Das US-amerikanische Sicherheitsunternehmen Bluebox Security hat eine Sicherheitslücke in dem Smartphone-Betriebssystem Android entdeckt. Der Android Bug 8219321 soll bereits seit der Android-Version 1.6 (Codename Donut) bestehen, die im Jahr 2009 veröffentlicht wurde und auch alle folgenden Versionen betreffen. Demnach besteht die Sicherheitslücke auf etwa 900 Millionen Android-Geräten.

Der Bug sorgt dafür, dass sich Schadsoftware in eigentlich seriösen Apps verstecken kann und installiert wird, ohne dass Android davor warnt. Programmierer vergeben für ihre Apps nämlich eine kryptografische Signatur. Wird die App installiert, prüft Android zunächst, ob die Signaturen der des Originals entspricht oder ob die App manipuliert wurde. Durch die Sicherheitslücke ist es aber möglich, den Code der apk-Dateien zu ändern, ohne die Signatur zu verändern, sodass Android die Manipulation nicht erkennt. Dadurch können Schadprogramme in das Betriebssystem eingeschleust werden, auch mit Systemanwendungen mit speziellen Rechten.

Google als Entwickler des Betriebssystems Android wurde bereits im Februar auf die Sicherheitslücke hingewiesen. Es sind jedoch die Gerätehersteller, die entsprechende Updates an die Nutzer der Endgeräte ausliefern müssen. Besitzer eines Smartphones oder Tablets mit Android-Betriebssystem sollten Apps nur aus vertrauenswürdigen Quellen installieren. Dazu zählt insbesondere der Google Play Store, in dem die zum Download angebotenen Apps durch Google überprüft werden. Der Download und die Installation von .apk-Dateien aus unbekannten Quellen in dem Internet sind eine nicht zu unterschätzende Gefahrenquelle. Das ist ein Ratschlag, der offensichtlich nicht oft genug wiederholt werden kann.

Update vom 09.07.2013

Gegenüber ZDNet hat die Google-Pressesprecherin Gina Scigliano gesagt, Google habe ein Patch an die Hardware-Hersteller verteilt, das die Sicherheitslücke schliesst. Der Hersteller Samsung hat bereits mit der Auslieferung im Rahmen eines Updates begonnen.
Ab der Version CM7 des alternativen Android-Betriebssystems CyanogenMod ist die Lücke bereits geschlossen worden. Die Updates sind auf den Servern verfügbar.

Update vom 10.07.2013

Bluebox Security bietet nun eine App an, den kostenlosen Bluebox Security Scanner, die das Android-Gerät des Nutzers hinsichtlich des Bugs untersucht, eventuell bereits diese Sicherheitslücke ausnutzende Schadprogramme erkennen soll und warnt, wenn die Android-Einstellungen Installationen von Nicht-Market-Downloads ermöglicht.

Update vom 17.07.2013

Für Android-Smartphones mit Root-Zugriff bietet das Sicherheitsunternehmen Dou Sec das in Zusammenarbeit mit der Bostener Northeastern University entwickelte Patch ReKey an. Es soll die Schwachstelle schliessen und zusätzlich melden, falls eine App versucht, die Schwachstelle auszunutzen.
Wie bereits beschrieben, ist die Lücke in den neuen Versionen des Android-Ablegers CyanogenMod mit dem von Google für Android bereit gestellten Patch bereits geschlossen worden.
Für Android-Geräte ohne Root-Zugriff ist die Sicherheits-App G Data MobileSecurity Version 2 eine Möglichkeit, die das Sicherheitsunternehmen G Data anbietet.

Update vom 26.07.2013

Die Sicherheitsexperten von Symantec haben Apps entdeckt, die die sogenannte Masterkey-Lücke ausnutzen. Bisher sind die Apps allerdings nur in asiatischen Markets aufgetaucht.

Weitere Informationen

Smartphone und Tablet Ratgeber

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Illegale Streaming-Plattform – Ermittlern gelingt Schlag gegen Streamzz

Illegale Streaming-Plattform

Ermittlern gelingt Schlag gegen Streamzz

Der Alliance for Creativity and Entertainment ist ein Schlag gegen die beliebte illegale Streaming-Plattform Streamzz gelungen. Die Ermittler konnten die Seite offline nehmen, auf der mehr als 75 000 Filme illegal angeboten wurden. Betrieben wurde die Plattform aus Deutschland. […]

Gerichtsurteil – Tastendruck-Abofalle im Festnetz ist rechtswidrig

Gerichtsurteil

Tastendruck-Abofalle im Festnetz ist rechtswidrig

Das Oberverwaltungsgericht NRW hat entschieden, dass ein Abo-Dienst, der über das Drücken einer Tastenkombination im Festnetz abgeschlossen wird, rechtswidrig ist. Grund ist ein Verstoß gegen die Preistransparenz und das Wettbewerbsgesetz sowie eine rechtswidrige Rufnummernnutzung. […]