Security

Google ignoriert bereits zweite Sicherheitslücke in Android

Die Sicherheitsexperten von Core Security haben einen Fehler im WLAN-Treiber von Android entdeckt, mit dem sich ein Smartphone gezielt zum Absturz bringen lässt. Google wurde erstmals im September 2014 informiert, ließ aber keine Absicht erkennen, den Fehler zu beheben.

28.01.2015, 11:01 Uhr
Google© Google

Die Sicherheitsexperten von Core Security haben einen Fehler im WLAN-Treiber von Android entdeckt, mit dem sich ein Smartphone gezielt zum Absturz bringen lässt. Google wurde erstmals im September 2014 informiert, ließ aber keine Absicht erkennen, den Fehler zu beheben. Daher wurde jetzt der Schritt an die Öffentlichkeit gewählt.

Auf der Suche nach anderen Geräten

Wenn ein Smartphone nach anderen Geräten scannt, mit denen es sich über Wifi Direct verbinden kann, lassen sich speziell präparierte Pakete (Probe Response Frames) zurückschicken, die das Dalvik-Subsystem und damit auch das gesamte Betriebssystem zu einem Neustart zwingen.

Wifi Direct ist eine Technik, bei der zwei Geräte eine Ad-hoc-Verbindung aufbauen, ohne sich in ein gemeinsames WLAN-Netz einzubuchen. Auf diese Weise können auf direktem Weg Daten ausgetauscht werden, aber auch bloß einem Drucker ein Dokument übermittelt werden.

Google sieht keine Gefahr

Anscheinend schätzt Google die Gefahr als niedrig ein. Es sei bloß ein kurzes Zeitfenster, indem ein solcher Angriff stattfinden könne, denn das Smartphone suche bei einer Wifi-Direct-Verbindung nicht ständig nach neuen Verbindungspunkten. Zudem sei ein Reboot nicht gefährlich.

Die Forscher von Core Security konnten den Fehler in den Geräten Nexus 4, Nexus 5, LG D806, Samsung SM-T310 und Motorola Razr HD nachweisen, allerdings nur mit den Androidversionen 4.4.4, 4.2.2 und 4.1.2. In Android 5.0.1 und 5.0.2 scheint die Lücke geschlossen zu sein - worauf Google allerdings nicht hingewiesen hat.

60 Prozent der Geräte ohne Bugfix

Das ist allerdings nicht die erste Sicherheitslücke in Android, der Google keine Beachtung schenkt. In Android 4.3 und früheren Versionen wird die Webview-Sicherheitslücke im Standard-Browser nicht mehr geschlossen werden. Davon betroffen sind 60 Prozent aller Androidgeräte, gemessen an einer von Google erstellten Statistik. Betroffen sind auch viele Apps unabhängiger Entwickler, die auf den Standard-Browser zugreifen.

Google selbst hat vor kurzem auch Sicherheitslücken in anderen Produkten veröffentlicht - in Mac OS X und in Windows. Im letzten Fall obwohl bekannt war, dass Microsoft die Lücke am monatlichen Patchday zwei Tage später schließen werde.

(Peter Giesecke)

Kommentieren Forum
Zum Seitenanfang