IBM-Mitarbeiter haben erneut eine Sicherheitslücke in Android entdeckt. Sie befindet sich im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit der Android-Version 4.3 und früher. Ein Patch liegt laut IBM allerdings bislang nur für Android 4.4 KitKat vor.
Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, haben seine Mitarbeiter und er die Schwachstelle vor neun Monaten entdeckt. So sei das Android Security Team bereits am 9. September 2013 über die Anfälligkeit informiert worden und habe den Fehler noch am selben Tag behoben. Ein Fix existiere seit dem 11. November.
“Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten”, schreibt Hay in einem Blog. Allerdings läuft KitKat den aktuellen Zahlen von Google zufolge lediglich auf etwa 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf über 80 Prozent aller Smartphones und Tablets, die mit Googles Mobil-OS laufen, noch immer kompromittiert werden.
Den Forschern zufolge kann die Anfälligkeit mittels einer bösartigen App ausgenutzt werden. Dafür muss sie jedoch Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Allerdings starte der KeyStore-Dienst automatisch neu, sobald er beendet wurde, heißt es in dem Blogeintrag weiter. “Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.”
Durch die Sicherheitslücke könnte ein Angreifer Zugang zu gespeicherten Schlüsseln erhalten und auch das Gerätepasswort abgreifen. Außerdem ist es möglich, entschlüsselte Master-Schlüssel und Daten sowie hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Das funktioniert ebenso mit dem Flash-Speicher, was wiederum bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.
Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher bereitstellen wird, geht aus dem Blog nicht hervor. Auch wenn die Verbreitung von KitKat, der derzeit einzigen sicheren Android-Version, weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Lücke veröffentlicht haben, weiterhin angreifbar.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.