Alte Software macht Android-Handys unsicher

Dafür verantwortlich zeichnet laut ISE die Tatsache, dass in Googles Handy-Plattform eine alte Version einer relevanten Open-Source-Komponente zum Einsatz kommt. Schon beim Browser ‘Chrome’ hatte sich Google durch eine alte Version eines wichtigen Softwareelements eine Sicherheitslücke eingehandelt.

Wer auf einem Android-Handy mit dem Browser im Internet unterwegs ist, könnte mithilfe bösartiger Webseiten angegriffen werden. Ein Hacker hätte so die Möglichkeit, eigenen Code auszuführen, um vom Browser genutzte Informationen von Cookies bis hin zu gespeicherten Passwörtern zu stehlen. In Android eingeschlichen hat sich die Lücke ISE zufolge mit einem der mehr als 80 Open-Source-Pakete. “Google hat nicht bei allen Paketen die aktuellsten Versionen genutzt”, erklärt das ISE-Team von Charlie Miller, Mark Daniel und Jake Honoroff. Die Schwachstelle, die auch das bereits im freien Verkauf befindliche G1 betrifft, sei in der aktuellsten Version der entsprechenden Software-Komponente eigentlich behoben.

Experten-Lob erntet hingegen die Sicherheits-Architektur der Android-Plattform. Sie sei gut aufgebaut und reduziere so die Auswirkungen der Schwachstelle, so ISE. Denn mithilfe der Lücke können zwar Browser-Daten ausspioniert, aber keine vom Browser unabhängigen Funktionen abgerufen werden. “Das ist ein Unterschied beispielsweise zum iPhone. Letzteres hat kein vergleichbares Sandboxing-Feature und erlaubt bei Kompromittierung Zugriff auf alle Funktionalitäten, die dem Nutzer zur Verfügung stehen”, meint das ISE-Team. Miller und Kollegen hatten im Juli 2007 auch das Aufdecken der ersten Sicherheitslücke im Apple-Handy für sich beansprucht.

Jedenfalls weist die Android-Lücke eine Parallele zur ersten Schwachstelle auf, die in Googles Browser Chrome entdeckt wurde. Das Sicherheitsrisiko wurde in diesem Fall durch die Nutzung einer alten Version von WebKit, der dem Browser zugrunde liegenden Render-Bibliothek, verursacht. “Solche Szenarien kommen sowohl bei Open-Source-Software als auch im proprietären Bereich öfters vor”, meint dazu Thomas Kristensen, Sicherheitsexperte bei Secunia. Software-Anbieter würden häufig Bibliotheken, ActiveX-Steuerelemente oder andere Komponenten nutzen, aber auf Sicherheits-Updates einfach vergessen. “Sie sollten eine enge Zusammenarbeit mit den Komponenten-Anbietern pflegen”, mahnt Kristensen. Damit könnten die Endanbieter sicherstellen, dass sie über Sicherheits-Updates von Komponenten informiert werden und diese eventuell schon vor ihrer allgemeinen Verfügbarkeit nutzen können.