Das Bluebox Security Team hat kürzlich eine Schwachstelle in Androids Sicherheitsmodell entdeckt, die es Angreifern erlaubt, APK Code zu modifizieren, ohne dabei die kryptographische Signatur zu verändern. Dies ermöglicht es Angreifern, legitime Apps zu manipulieren, ohne dass dies vom System registriert wird. Dadurch sind die Angreifer in der Lage, die Daten von Applikationen auszulesen sowie Zugriff auf gespeicherte Passwörter zu erlangen. Weiter befähigt die Schwachstelle Angreifer dazu, die gesamte Steuerung des infizierten Gerätes zu übernehmen.
Die Sicherheitslücke bestehe laut dem Sicherheitsunternehmen seit dem Release von Android 1.6 und betreffe damit alle Modelle, die in den letzten vier Jahren auf den Markt gekommen sind. Insgesamt belaufe sich die Zahl der Risiko-Geräte auf 900 Millionen beziehungsweise 99 Prozent aller Android-Modelle.
In seinem
Blog erklärt Bluebox Security, dass der Android Security Bug 8219321 Google bereits im Februar gemeldet wurde. Es sei nun an den Herstellern, individuelle Firmware für die betroffenen Geräte bereitzustellen. Dabei variiere die Wahrscheinlichkeit, ein solches Update zu erhalten je nach Hersteller und Gerät sehr stark. Bislang sei das einzige Gerät, das bereits über eine entsprechende Behebung des Bugs verfügt, das Smartphone Galaxy S4 von Samsung. Zu beachten sei jedoch, dass einer Infizierung vorgebeugt werden könne, indem Upates für System-Apps ausschliesslich aus dem Play Store heruntergeladen werden. Dem Risiko ausgesetzt sind nur jene User, die Apps von Drittanbietern beziehen.
(af)
