25.03.2014
Sicherheitslücke beim Android-Update
Autor: Stefan Kuhn
Android-Apps können beim Update des mobilen Betriebssystems unbemerkt ihre Nutzerrechte erweitern. Betroffen von der Sicherheitslücke sind weltweit mehr als eine Milliarde Smartphones und Tablets.
In einem gemeinsamen Forschungspapier beschreiben Sicherheits-Experten der Indiana University und des Software-Konzerns Microsoft eine schwerwieggende Sicherheitslücke, die alle Android-Geräte betrifft. Angreifer könnten die “Pileup” (“Privilege Escalation through updating”) genannte Android-Schwachstelle nutzen, um Google-Konten zu kapern, Bankdaten zu stehlen oder Voice-Messages mitzuschneiden.
So funktioniert der Pileup-Angriff: Der Angreifer verbreitet eine Android-App, die Nutzerrechte einfordert, die es auf einer älteren Android-Version noch gar nicht gibt. Bei der App-Installation auf einem Smartphone oder Tablet mit solch einer veralteten Android-Version, erscheint folglich auch keine Nachfrage, ob der Benutzer der Anwendung die entsprechenden Rechte einräumen will.
Wird später ein Update des Betriebssystems durchgeführt und auf eine Android-Version aktualisiert, die die entsprechenden Nutzerrechte kennt, dann werden der Schad-App die jeweiligen Rechte automatisch erteilt. Die Anwendung könnte folglich auf tiefgreifende Systemfunktionen zugreifen, ohne dass der Besitzer des Geräts darüber informiert wurde.
Die Sicherheits-Experten der Indiana University wollen im Android Package Management Service (PMS) insgesamt sechs verschiedene Pileup-Angriffsmöglichkeiten entdeckt haben. Ihrem Bericht nach sind die Schwachstellen in allen AOSP-Versionen (Android Open Source Project) sowie in über 3500 angepassten Android-Versionen von Smartphone-Herstellern und Mobilfunkanbietern enthalten. Android-Nutzern raten die Forscher zur Installation ihrer Sicherheits-Software Secure Update Scanner, die potentiell schädliche Apps auf dem Android-Gerät finden soll. Zudem wurde Google über die Schwachstelle informiert.
Letzte Hürde genommen
USB-C kommt als einheitlicher Ladestandard
Nach dem Bundestag hat auch der Bundesrat einer EU-Richtlinie zugestimmt, die USB-C als einheitlichen Anschluss zum Laden von Elektrogeräten festlegt.
>>
Autohersteller
Erstes Smartphone von Polestar
Autohersteller Polestar hat in China sein erstes Smartphone vorgestellt, das vor allem gut mit den Fahrzeugen des Herstellers zusammenarbeiten soll.
>>
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
Galaxy AI
Samsung bringt KI auf weitere Smartphones und Tablets
Einige weitere, ältere Smartphone- und Tablet-Modelle von Samsung können mit einem Systemupdate jetzt die KI-Funktionen von Galaxy AI nutzen.
>>