Alte Software macht Android-Handys unsicher

Dafür verantwortlich zeichnet laut ISE die Tatsache, dass in Googles Handy-Plattform eine alte Version einer relevanten Open-Source-Komponente zum Einsatz kommt. Schon beim Browser ‘Chrome’ hatte sich Google durch eine alte Version eines wichtigen Softwareelements eine Sicherheitslücke eingehandelt.

Wer auf einem Android-Handy mit dem Browser im Internet unterwegs ist, könnte mithilfe bösartiger Webseiten angegriffen werden. Ein Hacker hätte so die Möglichkeit, eigenen Code auszuführen, um vom Browser genutzte Informationen von Cookies bis hin zu gespeicherten Passwörtern zu stehlen. In Android eingeschlichen hat sich die Lücke ISE zufolge mit einem der mehr als 80 Open-Source-Pakete. “Google hat nicht bei allen Paketen die aktuellsten Versionen genutzt”, erklärt das ISE-Team von Charlie Miller, Mark Daniel und Jake Honoroff. Die Schwachstelle, die auch das bereits im freien Verkauf befindliche G1 betrifft, sei in der aktuellsten Version der entsprechenden Software-Komponente eigentlich behoben.

Experten-Lob erntet hingegen die Sicherheits-Architektur der Android-Plattform. Sie sei gut aufgebaut und reduziere so die Auswirkungen der Schwachstelle, so ISE. Denn mithilfe der Lücke können zwar Browser-Daten ausspioniert, aber keine vom Browser unabhängigen Funktionen abgerufen werden. “Das ist ein Unterschied beispielsweise zum iPhone. Letzteres hat kein vergleichbares Sandboxing-Feature und erlaubt bei Kompromittierung Zugriff auf alle Funktionalitäten, die dem Nutzer zur Verfügung stehen”, meint das ISE-Team. Miller und Kollegen hatten im Juli 2007 auch das Aufdecken der ersten Sicherheitslücke im Apple-Handy für sich beansprucht.

Jedenfalls weist die Android-Lücke eine Parallele zur ersten Schwachstelle auf, die in Googles Browser Chrome entdeckt wurde. Das Sicherheitsrisiko wurde in diesem Fall durch die Nutzung einer alten Version von WebKit, der dem Browser zugrunde liegenden Render-Bibliothek, verursacht. “Solche Szenarien kommen sowohl bei Open-Source-Software als auch im proprietären Bereich öfters vor”, meint dazu Thomas Kristensen, Sicherheitsexperte bei Secunia. Software-Anbieter würden häufig Bibliotheken, ActiveX-Steuerelemente oder andere Komponenten nutzen, aber auf Sicherheits-Updates einfach vergessen. “Sie sollten eine enge Zusammenarbeit mit den Komponenten-Anbietern pflegen”, mahnt Kristensen. Damit könnten die Endanbieter sicherstellen, dass sie über Sicherheits-Updates von Komponenten informiert werden und diese eventuell schon vor ihrer allgemeinen Verfügbarkeit nutzen können.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

23 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

23 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago