Dafür verantwortlich zeichnet laut ISE die Tatsache, dass in Googles Handy-Plattform eine alte Version einer relevanten Open-Source-Komponente zum Einsatz kommt. Schon beim Browser ‘Chrome’ hatte sich Google durch eine alte Version eines wichtigen Softwareelements eine Sicherheitslücke eingehandelt.
Wer auf einem Android-Handy mit dem Browser im Internet unterwegs ist, könnte mithilfe bösartiger Webseiten angegriffen werden. Ein Hacker hätte so die Möglichkeit, eigenen Code auszuführen, um vom Browser genutzte Informationen von Cookies bis hin zu gespeicherten Passwörtern zu stehlen. In Android eingeschlichen hat sich die Lücke ISE zufolge mit einem der mehr als 80 Open-Source-Pakete. “Google hat nicht bei allen Paketen die aktuellsten Versionen genutzt”, erklärt das ISE-Team von Charlie Miller, Mark Daniel und Jake Honoroff. Die Schwachstelle, die auch das bereits im freien Verkauf befindliche G1 betrifft, sei in der aktuellsten Version der entsprechenden Software-Komponente eigentlich behoben.
Experten-Lob erntet hingegen die Sicherheits-Architektur der Android-Plattform. Sie sei gut aufgebaut und reduziere so die Auswirkungen der Schwachstelle, so ISE. Denn mithilfe der Lücke können zwar Browser-Daten ausspioniert, aber keine vom Browser unabhängigen Funktionen abgerufen werden. “Das ist ein Unterschied beispielsweise zum iPhone. Letzteres hat kein vergleichbares Sandboxing-Feature und erlaubt bei Kompromittierung Zugriff auf alle Funktionalitäten, die dem Nutzer zur Verfügung stehen”, meint das ISE-Team. Miller und Kollegen hatten im Juli 2007 auch das Aufdecken der ersten Sicherheitslücke im Apple-Handy für sich beansprucht.
Jedenfalls weist die Android-Lücke eine Parallele zur ersten Schwachstelle auf, die in Googles Browser Chrome entdeckt wurde. Das Sicherheitsrisiko wurde in diesem Fall durch die Nutzung einer alten Version von WebKit, der dem Browser zugrunde liegenden Render-Bibliothek, verursacht. “Solche Szenarien kommen sowohl bei Open-Source-Software als auch im proprietären Bereich öfters vor”, meint dazu Thomas Kristensen, Sicherheitsexperte bei Secunia. Software-Anbieter würden häufig Bibliotheken, ActiveX-Steuerelemente oder andere Komponenten nutzen, aber auf Sicherheits-Updates einfach vergessen. “Sie sollten eine enge Zusammenarbeit mit den Komponenten-Anbietern pflegen”, mahnt Kristensen. Damit könnten die Endanbieter sicherstellen, dass sie über Sicherheits-Updates von Komponenten informiert werden und diese eventuell schon vor ihrer allgemeinen Verfügbarkeit nutzen können.
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…