Security

Android-Lücke: 99 Prozent aller Smartphones gefährdet

Sicherheitsexperten von Bluebox Security haben einen gefährlichen Bug in Googles mobilem Betriebssystem Android entdeckt. Updates für bereits installierte Apps lassen sich manipulieren und Malware einschleusen. Ein Angreifer kann ein Android-Gerät komplett übernehmen.

04.07.2013, 18:05 Uhr
SMS schreiben© Andres Rodriguez / Fotolia.com

Schwere Sicherheitslücke in Googles mobilem Betriebssystem Android: Die Sicherheitsexperten von Bluebox Security haben eine gefährliche Schwachstelle in dem System entdeckt. Wie Jeff Forristal, der technische Leiter von Bluebox Security, auf der Webseite des Unternehmens mitteilte, seien 99 Prozent aller Android-Smartphones potentiell gefährdet.

Rund 900 Millionen Smartphones betroffen

Die Schwachstelle könne alle Geräte seit der Veröffentlichung von Android 1.6, und damit rund 900 Millionen mobile Endgeräte, gefährden. Hacker könnten Updates für bereits auf dem Smartphone installierte Apps durch Ausnutzung der Sicherheitslücke manipulieren und auf diesem Weg Malware einschleusen. Die Folgen wären weitreichend: Der Angreifer kann sowohl auf dem Mobiltelefon gespeicherte Daten stehlen oder aber das Gerät auch komplett übernehmen. Das Gerät lasse sich auch unbemerkt von Nutzer und Google Play in ein Botnetz einbinden.

Grundsätzlich verfügen Updates für mobile Anwendungen bei Android über eine kryptografische Signatur, die sie als legitimierte Aktualisierung des App-Herstellers ausweisen. Doch laut Bluebox Security lässt sich das Android-System mit Hilfe der Sicherheitslücke überlisten.

Hersteller müssen Firmware-Updates bereitstellen

Die digitale Signatur erscheint unverändert, obwohl das Update beispielsweise mit einem Trojaner infiziert wurde. Da bereits installierte Apps über zahlreiche Zugriffsrechte verfügen, lasse sich die durch das Update manipulierte Anwendung beispielsweise zum Lesen von E-Mails, SMS und Dokumenten, zum Mitschneiden von Telefonaten oder zum Aktivieren der Kamera nutzen.

Bluebox Security hatte Google bereits im Februar über den Android-Sicherheitsbug 8219321 informiert, laut den Sicherheitsexperten liege es nun an den Smartphone-Herstellern entsprechende Firmware-Updates für ihre Geräte bereitzustellen. Wie schnell ein solcher Schritt erfolge, hänge vom Hersteller sowie vom jeweiligen Smartphone-Modell ab. Nutzern rät Bluebox Security derweil zur besonderen Vorsicht bei der Installation von Updates außerhalb von Google Play. Auf der Ende Juli in Las Vegas stattfindenden Konferenz Black Hat 2013 will Forristal weitere Details zu der Android-Lücke mitteilen.

(Jörg Schamberg)

Kommentieren Forum
Zum Seitenanfang