Sicherheitsforscher finden erneut Lücken in Android

Eine Schwachstelle betrifft alle Android-Geräte unabhängig von der Betriebssystemversion. Sie ermöglicht das Ausspähen von Nutzerinformationen. Google ist über beide Anfälligkeiten informiert.

Android

Die Sicherheitsforscher Jon Oberheide und Zach Lanier haben erneut Schwachstellen in Googles Mobilbetriebssystem gefunden. Sie hatten im Februar eine kritische Lücke im Android Market aufgedeckt. In einem Blogeintrag schreibt Oberheide, Chief Technology Officer von Duo Security, er habe die Sicherheitslücken schon an Google gemeldet. Ein Patch stehe aber noch nicht zur Verfügung.

Der erste Fehler betrifft demnach alle Android-Geräte, unabhängig von der Betriebssystemversion. Er ermöglicht die Installation „beliebiger Anwendungen mit beliebigen Rechten“, ohne dass ein Nutzer vorher um Erlaubnis gefragt wird. Angreifer können sich so Zugang zu Nutzerdaten wie Anruflisten, Textnachrichten, Mediendateien oder den Browserverlauf verschaffen.

Die andere Lücke steckt nur in einigen Android-Geräten, darunter das Samsung Nexus S. Sie führt dazu, dass Hacker die vollständige Kontrolle über das Smartphone übernehmen können. Zuvor muss ein Nutzer lediglich dazu verleitet werden, eine manipulierte Anwendung zu installieren.

Details zu beiden Sicherheitslücken will Oberheide zusammen mit seinem Kollegen Zach Lanier auf der Konferenz Source vorstellen, die im November in Barcelona stattfindet. Exploits für die Anfälligkeiten zeigen sie in einem Video.

Im November 2010 hatten Oberheide und Lanier eine Anwendung im Android Market veröffentlicht, um zu beweisen, dass Entwickler zusätzliche Apps auf Android-Handys einschleusen können, ohne dass der Nutzer etwas davon merkt. „Seit dem Start des Android Market vor einem Jahr war es möglich, aus der Ferne Apps mit beliebigen Rechten auf ein Mobiltelefon aufzuspielen“, sagte Oberheide im März. Google musste schließlich mehr als 50 Anwendungen aus seinem Online-Marktplatz verbannen und sie ferngesteuert von rund 260.000 Android-Handys löschen, deren Nutzer die Apps heruntergeladen hatten.

Themenseiten: Android, Duo Security, Google, Mobile

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Scott Webster, Stefan Beiersmann
Autor: Scott Webster, Stefan Beiersmann
Freier Mitarbeiter
Scott Webster, Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher finden erneut Lücken in Android

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *