IBM-Mitarbeiter haben erneut eine Sicherheitslücke in Android entdeckt. Sie befindet sich im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit der Android-Version 4.3 und früher. Ein Patch liegt laut IBM allerdings bislang nur für Android 4.4 KitKat vor.
Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, haben seine Mitarbeiter und er die Schwachstelle vor neun Monaten entdeckt. So sei das Android Security Team bereits am 9. September 2013 über die Anfälligkeit informiert worden und habe den Fehler noch am selben Tag behoben. Ein Fix existiere seit dem 11. November.
“Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten”, schreibt Hay in einem Blog. Allerdings läuft KitKat den aktuellen Zahlen von Google zufolge lediglich auf etwa 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf über 80 Prozent aller Smartphones und Tablets, die mit Googles Mobil-OS laufen, noch immer kompromittiert werden.
Den Forschern zufolge kann die Anfälligkeit mittels einer bösartigen App ausgenutzt werden. Dafür muss sie jedoch Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Allerdings starte der KeyStore-Dienst automatisch neu, sobald er beendet wurde, heißt es in dem Blogeintrag weiter. “Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.”
Durch die Sicherheitslücke könnte ein Angreifer Zugang zu gespeicherten Schlüsseln erhalten und auch das Gerätepasswort abgreifen. Außerdem ist es möglich, entschlüsselte Master-Schlüssel und Daten sowie hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Das funktioniert ebenso mit dem Flash-Speicher, was wiederum bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.
Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher bereitstellen wird, geht aus dem Blog nicht hervor. Auch wenn die Verbreitung von KitKat, der derzeit einzigen sicheren Android-Version, weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Lücke veröffentlicht haben, weiterhin angreifbar.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…