Android-Sicherheitslücke bedroht 60 Prozent aller Geräte

Android (Grafik: Google)

Genau genommen findet sich die Anfälligkeit in einer Sicherheitsfunktion von in Android-Geräten verbauten Qualcomm-CPUs. Sie lässt sich ausschließlich über eine bösartige App ausnutzen. Google liefert schon seit Januar einen Patch aus, der bislang jedoch nur auf knapp einem Viertel aller ermittelten verwundbaren Geräte installiert ist.

Der Sicherheitsanbieter Duo Security warnt vor einer bereits seit Längerem bekannten Schwachstelle in Android, die womöglich bis zu 60 Prozent aller Geräte mit Googles Mobilbetriebssystem betrifft. Der Bug findet sich in der Sicherheitsfunktion Secure Execution Environment des Chipanbieters Qualcomm, von dem rund 80 Prozent aller CPUs für Android-Geräte stammen. Den seit Januar erhältlichen Fix für die Schwachstelle konnten die Forscher jedoch nur auf 25 Prozent der von ihnen analysierten 500.000 Android-Geräte ermitteln.

Android (Grafik: Google)

Schadsoftware, die die Sicherheitslücke ausnutzen kann, wird über infizierte Apps verbreitet, die laut den Forschern auch schon erfolgreich Googles Sicherheitskontrollen für den Play Store überlistet haben. Im Anschluss kann ein Angreifer dann Sicherheitsfunktionen aushebeln und auf diese Weise unter Umständen die komplette Kontrolle über ein System übernehmen.

Duo Security verweist darauf, dass seine Analyse auf Geräten beruht, die im Unternehmensumfeld genutzt werden. Demzufolge zeigen die Daten auch, dass etwa 27 Prozent aller Android-Smartphones zu alt sind und deshalb keine monatlichen Updates über Google Play bekommen. Damit diese Geräte nicht mehr permanent verwundbar sind, müssten sie ein Update auf mindestens Android 4.4.4 erhalten oder der Anbieter des Geräts müsste einen Patch für die Android-Version des Geräts bereitstellen.

Die Anfälligkeit in der Qualcomm-Sicherheitsfunktion führt konkret dazu, dass sich besonders heikle Operationen wie die Verwaltung kryptografischer Schlüssel nicht mehr getrennt vom übrigen Betriebssystem in einem geschützten Bereich ausführen lassen. Gegebenenfalls sind dadurch Zugriffe auf den geschützten Bereich möglich, was eine Manipulation des Linux-Kernels erlaubt. Angreifer erlangen auf diese Weise dann die komplette Kontrolle über ein Gerät.

Duo Security hebt allerdings hervor, dass die Sicherheitslücke nicht so schwerwiegend ist wie die im letzten Jahr aufgetauchte Stagefright-Schwachstelle. “Stagefright konnte benutzt werden, um jeden aus der Ferne anzugreifen, und dafür brauchte man nur die Handynummer”, heißt es in einem Blogbeitrag des Security-Anbieters. “Diese Anfälligkeit setzt voraus, dass ein Angreifer seinen Code über eine schädliche App verteilt.” Aus Googles Android-Sicherheitsbericht geht jedoch hervor, dass lediglich auf einem von 200 Smartphones potenziell schädliche Applikationen installiert sind.

[mit Material von Stefan Beiersmann, ZDNet.de]

Ausgewählte, passende Whitepaper:

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de