Sicherheitslücke im Betriebssystem – Fast alle Android-Smartphones betroffen

Sicherheitsluecke im Android Betriebssystem betrifft Signaturen

Das US-amerikanische Sicherheitsunternehmen Bluebox Security hat eine Sicherheitslücke in dem Smartphone-Betriebssystem Android entdeckt. Der Android Bug 8219321 soll bereits seit der Android-Version 1.6 (Codename Donut) bestehen, die im Jahr 2009 veröffentlicht wurde und auch alle folgenden Versionen betreffen. Demnach besteht die Sicherheitslücke auf etwa 900 Millionen Android-Geräten.

Der Bug sorgt dafür, dass sich Schadsoftware in eigentlich seriösen Apps verstecken kann und installiert wird, ohne dass Android davor warnt. Programmierer vergeben für ihre Apps nämlich eine kryptografische Signatur. Wird die App installiert, prüft Android zunächst, ob die Signaturen der des Originals entspricht oder ob die App manipuliert wurde. Durch die Sicherheitslücke ist es aber möglich, den Code der apk-Dateien zu ändern, ohne die Signatur zu verändern, sodass Android die Manipulation nicht erkennt. Dadurch können Schadprogramme in das Betriebssystem eingeschleust werden, auch mit Systemanwendungen mit speziellen Rechten.

Google als Entwickler des Betriebssystems Android wurde bereits im Februar auf die Sicherheitslücke hingewiesen. Es sind jedoch die Gerätehersteller, die entsprechende Updates an die Nutzer der Endgeräte ausliefern müssen. Besitzer eines Smartphones oder Tablets mit Android-Betriebssystem sollten Apps nur aus vertrauenswürdigen Quellen installieren. Dazu zählt insbesondere der Google Play Store, in dem die zum Download angebotenen Apps durch Google überprüft werden. Der Download und die Installation von .apk-Dateien aus unbekannten Quellen in dem Internet sind eine nicht zu unterschätzende Gefahrenquelle. Das ist ein Ratschlag, der offensichtlich nicht oft genug wiederholt werden kann.

Update vom 09.07.2013

Gegenüber ZDNet hat die Google-Pressesprecherin Gina Scigliano gesagt, Google habe ein Patch an die Hardware-Hersteller verteilt, das die Sicherheitslücke schliesst. Der Hersteller Samsung hat bereits mit der Auslieferung im Rahmen eines Updates begonnen.
Ab der Version CM7 des alternativen Android-Betriebssystems CyanogenMod ist die Lücke bereits geschlossen worden. Die Updates sind auf den Servern verfügbar.

Update vom 10.07.2013

Bluebox Security bietet nun eine App an, den kostenlosen Bluebox Security Scanner, die das Android-Gerät des Nutzers hinsichtlich des Bugs untersucht, eventuell bereits diese Sicherheitslücke ausnutzende Schadprogramme erkennen soll und warnt, wenn die Android-Einstellungen Installationen von Nicht-Market-Downloads ermöglicht.

Update vom 17.07.2013

Für Android-Smartphones mit Root-Zugriff bietet das Sicherheitsunternehmen Dou Sec das in Zusammenarbeit mit der Bostener Northeastern University entwickelte Patch ReKey an. Es soll die Schwachstelle schliessen und zusätzlich melden, falls eine App versucht, die Schwachstelle auszunutzen.
Wie bereits beschrieben, ist die Lücke in den neuen Versionen des Android-Ablegers CyanogenMod mit dem von Google für Android bereit gestellten Patch bereits geschlossen worden.
Für Android-Geräte ohne Root-Zugriff ist die Sicherheits-App G Data MobileSecurity Version 2 eine Möglichkeit, die das Sicherheitsunternehmen G Data anbietet.

Update vom 26.07.2013

Die Sicherheitsexperten von Symantec haben Apps entdeckt, die die sogenannte Masterkey-Lücke ausnutzen. Bisher sind die Apps allerdings nur in asiatischen Markets aufgetaucht.

Weitere Informationen

Smartphone und Tablet Ratgeber

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Fake-Steuerbescheide – LKA warnt vor perfider Betrugsmasche per Post

Fake-Steuerbescheide

LKA warnt vor perfider Betrugsmasche per Post

Wer aktuell Post vom Finanzamt erhält, sollte diese genau überprüfen. Denn das Landeskriminalamt Niedersachsen warnt vor einer Betrugsmasche mit Fake-Steuerbescheiden, die per Briefpost versendet werden. Mit den Fälschungen versuchen die Betrüger, an Geld zu gelangen. […]

urteil

Online-Glücksspiel in Deutschland

Blick auf die aktuellen Regulierungen

In den vergangenen Jahren hat sich die Glücksspielbranche in Deutschland rasant gewandelt, insbesondere durch neue Regelungen. Diese haben das Online-Glücksspiel klarer strukturiert und den Weg für legale Angebote geebnet. Ein zentraler Meilenstein dabei ist der Glücksspielstaatsvertrag 2021, der die Regulierung erheblich verändert hat. Doch welche Auswirkungen hat das für Spieler und Anbieter? […]

Neuer Bahnfunk ab 2027 – 5G für weniger Verspätungen und Funklöcher

Neuer Bahnfunk ab 2027

5G für weniger Verspätungen und Funklöcher

Mit dem sogenannten „Future Railway Mobile Communication System“ soll das Bahnfahren in Deutschland revolutioniert werden. Die Echtzeit-Datenübertragung sorgt für mehr Sicherheit im Bahnbetrieb. Ferner sollen lästige Funklöcher entlang der Bahnstrecken dann der Vergangenheit angehören. […]

Mehr Diebstahlschutz für Android – das sind die 3 neuen KI-Features

Mehr Diebstahlschutz für Android

Das sind die 3 neuen KI-Features

Bereits vor Monaten hat Google angekündigt, KI-Features für einen besseren Diebstahlschutz auf die Android-Smartphones zu bringen. Jetzt berichten erste Nutzer auf der ganzen Welt davon, dass die Funktionen auf ihrem Handy angekommen sind. Bis Ende des Jahres sollen weitere Smartphones folgen. […]

Microsoft Support – LKA warnt vor neuer Vorgehensweise der Betrüger

Microsoft Support

LKA warnt vor neuer Vorgehensweise der Betrüger

Dass Kriminelle sich als Mitarbeiter von Microsoft ausgeben, um angeblich Hilfe zu leisten, ist bereits seit vielen Jahren bekannt. Jetzt warnt das LKA Niedersachsen vor einer etwas anderen, besonders perfiden Vorgehensweise beim sogenannten „Tech Support Scam“. […]