Bug bedroht DroidenSicherheitsleck betrifft 99% aller Android-Geräte
Eine Schwachstelle im Android-System macht praktisch alle Smartphones angreifbar. Der Fehler soll bereits seit über drei Jahren existent sein.
- von
- pru
Die seit Android 1.6 vorhandene Sicherheitslücke wurde bisher einzig beim Galaxy S4 behoben.
Die Sicherheitsfirma Bluebox Security ist auf eine Lücke im Android-Betriebssystem gestossen. Ein Fehler, der seit der Android-Version 1.6 Donut vorhanden sein soll, könnte es Angreifern ermöglichen, sich unbemerkt im System einzunisten. Ob Manipulationen, Fern-Administrationen oder das Auslesen von Passwörtern: Der Angreifer hat praktisch unbegrenzte Möglichkeiten.
Durch die Sicherheitslücke gelang es Bluebox Apps so zu verändern, dass sie vom System als legitime Apps anerkannt wurden. Normalerweise sind Apps mit einer kryptografischen Signatur versehen, die dem System jegliche Veränderungen mitteilen. Nun sei es möglich, dem Benutzer manipulierte Programme unterzujubeln. «Sollte sich diese Meldung bestätigen, würde eine Verbreitung von Malware auf Android-Geräten massiv erleichtert», meint Oliver Kunz, Schweizer Sicherheitsexperte bei scip AG. Google hat sich zum Vorfall bisher nicht geäussert.
Google Play Store nicht betroffen
Wer allerdings seine Apps weiterhin auf natürlichem Weg via Google Play Store bezieht, hat nichts zu befürchten. Ein Angriff durch den offiziellen Store soll laut Bluebox nicht möglich sein. Im asiatischen Raum existieren allerdings zahlreiche Alternativ-App-Stores. Betroffen sind somit jene, die in den Systemeinstellungen das Häkchen bei «Unbekannte Herkunft zulassen» gesetzt haben. Dadurch lassen sich Apps als APK-Dateien direkt vom Internet herunterladen und installieren.
Android-Update-Politik wird zum Stolperstein
Bluebox hat den Bug mit der Nummer 8219321 laut dem US-Blog The Verge bereits im Februar an das Google-Team weitergeleitet. «Problematisch dabei ist, dass viele Nutzer ihre Android-Geräte nur unregelmässig updaten oder dass grössere Updates bei gewissen Geräten nur spät oder gar nicht möglich sind», so Kunz. Dadurch blieben Schwachstellen länger offen und seien entsprechend kritischer. So hat HTC erst kürzlich bekannt gegeben, das ein Jahr alte HTC One S nicht mehr zu unterstützen. Je älter das Gerät, desto unwahrscheinlicher also, dass ein Patch nachgereicht wird. Glücklicher können sich Galaxy-S4-Besitzer schätzen. Samsungs Millionen-Seller hat laut Bluebox als Einziger bereits ein Update erhalten.
Nichts verpassen
Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.