Schwere Android-Sicherheitslücke entdeckt

[Christoph]

Zitat:

Bis zu 900 Millionen Android-Geräte könnten von einer neuen, schweren Sicherheitslücke betroffen sein, die vollen Zugriff auf alle Gerätefunktionen erlaubt. Dabei wird Schadsoftware über eine manipulierte Installationsdatei eingeschleust, deren Signatur jedoch nicht modifiziert wird. Die Signatur erlaubt dem System, die Herkunft der Datei zu überprüfen.

Das mobile Betriebssystem Android weist laut Sicherheits-Experten des StartUps Bluebox eine schwerwiegende Sicherheitslücke auf, die bereits in der mehr als vier Jahre alten Version 1.6 alias "Donut" zu finden ist und nie korrigiert wurde. Dadurch könnten bis zu 900 Millionen Geräte von der Sicherheitslücke betroffen sein. Die Lücke erlaubt es Angreifern, Schadsoftware in eine Android-Installationsdatei (APK) einzuschleusen, wobei aber die Signatur erhalten bleibt und so kein Verdacht geschöpft wird. Dadurch kann aus jeder beliebigen App eine mögliche Bedrohung werden.

Voller Zugriff
Wenn die App als Update für eine System-App getarnt wird, könnte der Trojaner zudem Zugang zu allen Funktionen des Smartphones oder Tablets erhalten. Das umfasst neben dem Mitlesen und Mithören von SMS und Telefonanrufen auch das Auslesen aller gespeicherten Inhalte und Passwörter auf dem Gerät. Auch die Gefahr, dass ein Hacker mit Hilfe der gehackten Geräte ein Botnetz aufbaut, besteht. Die Sicherheitslücke wurde Google bereits im Februar gemeldet, an einer Lösung werde bereits gearbeitet.

Kein Schutz
Details zur Sicherheitslücke werden auf der Hackerkonferenz Black Hat präsentiert. Derzeit kann das Risiko der Sicherheitslücke nur durch besondere Achtsamkeit eingeschränkt werden, Schutz davor gibt es derzeit nicht. Nun liegt es vor allem an den Herstellern, eine schnelle Lösung in Form von Updates anzubieten.

Quelle: http://futurezone.at/digitallife/168...e-entdeckt.php
http://www.golem.de/news/bluebox-sic...07-100195.html

[Lowrider20]

Und genau deswegen müßten die Hersteller eine Core-Version auf den Handies installieren mit ihrer Oberfläche. Dann wären solche Probleme leichter zu flicken. Aber so müssens wieder die komplette Firmware umstricken. Und alte Versionen bleiben über ("gibt ja eh neue Handies mit der neuen, sicheren Version...")

[riesermauf]

Es muss ja für die NSA irgendwo ein Türl offen bleiben (da haben sie gleich 900 Millionen Nutzer zum überwachen),
wer weiß was Google in Android alles noch eingebaut hat.

[zonediver]

...und Apple in iOS alles versteckt hat...

[Lowrider20]

...und Microsoft in Windows/Office/Phone/... versteckt hat...

[Baron]

... und Linux erst- wer sagt denn das da nicht ein paar begnadete NSA Entwickler mit entwickeln?

[Christoph]

Und in den Festnetzapparaten.

Und jezt genug gescherzt, zu viel OT.

[Don Manuel]

Zitat:

Zitat von Baron

... und Linux erst- wer sagt denn das da nicht ein paar begnadete NSA Entwickler mit entwickeln?

Stets zu Diensten Herr Baron: Lightweight Portable Security ein live-Linux, frei für die Öffentlichkeit, direkt vom US-Verteidigungsministerium (DOD, Department of Defense) - selbstredend nicht in OmniBoot integriert .
Aber sonst haben Geheimdienstler auch nicht mehr Möglichkeiten als andere Internet-Kriminelle, Linux-code zu kompromittieren.

edit: sorry für weiteres OT, aber diese Info dürfte doch für ein paar neu sein.

[Baron]

Danke- na was es nicht alles gibt! War IMHO gar nicht so als Witz gemeint - schließlich basiert ja Android auf Linux- oder?

[Don Manuel]

Auch Apple OS-X basiert auf Linux. Aber auf Linux zu basieren, muss nicht bedeuten, die Linux-Prinzipien einzuhalten. Du kannst quasi ein Windows produzieren und verkaufen, das auf Linux basiert. Es zählen eben immer die persönlichen und finanziellen Interessen. Mark Shuttleworth und sein Ubuntu sind imho ja auch auf dem besten Weg zum kommerziellen Linux-Projekt.
Einigen wir uns drauf: "Linux" alleine sagt noch nicht viel aus. Die genaue Philosophie eines Projektes ist entscheidend. Wie ja auch Android mit einem Desktop-OS wenig zu tun hat.