Forscher der Indiana University haben in Zusammenarbeit mit Microsoft eine neue Klasse von Android-Sicherheitslücken entdeckt. Die „Pileup“ – was für „Privilege Escalation through updating“ steht – genannten Bugs stecken einem Whitepaper (PDF) zufolge in allen Versionen von Googles Mobilbetriebssystem und betreffen mehr als eine Milliarde Smartphones und Tablets weltweit.
Die Fehler erlauben einer schädlichen App eine unautorisierte Ausweitung von Nutzerrechten, sobald Android aktualisiert wird. Der Besitzer des Geräts merkt davon nichts.
„Alle paar Monate wird ein Update veröffentlicht, das tausende Dateien eines laufenden Systems austauscht oder hinzufügt“, schreiben die Forscher. „Jede neue App, die installiert wird, muss genau konfiguriert werden, um ihre Attribute in der eigenen Sandbox und ihre Systemrechte festzulegen, ohne dass versehentlich vorhandene Apps und die von ihnen gespeicherten Nutzerdaten beschädigt werden. Das macht die Programmlogik für die Installation solcher mobiler Updates kompliziert – und damit anfällig für Sicherheitsfehler.“
Durch eine App, die auf einer älteren Android-Version läuft, kann sich ein Hacker den Forschern zufolge sorgfältig ausgewählte Rechte oder Attribute sichern, die allerdings nur unter einer höheren Android-Version zur Verfügung stehen. Wird das Betriebssystem auf diese höhere Version aktualisiert, erhält die App die neuen Berechtigungen automatisch im Hintergrund, ohne dass der Nutzer darüber informiert wird.
Die Forscher haben nach eigenen Angaben sechs verschiedene Pileup-Anfälligkeiten gefunden, die alle im Android Package Management Service (PMS) stecken. Sie seien in allen Versionen des Android Open Source Project (AOSP) enthalten sowie in mehr als 3500 von Handyherstellern und Mobilfunkanbietern speziell angepassten Android-Versionen.
Darüber hinaus haben die Forscher einen SecUP genannten Scanner vorgestellt, der schädliche Apps finden soll, die sich bereits auf einem Gerät befinden und auf ein Update warten, um ihre Rechte auszuweiten. Der Scanner prüfe den Quellcode des Package Management System von unterschiedlichen Android-Versionen, um mögliche Verletzungen von Sicherheitsbeschränkungen aufzudecken.
Laut den Forschern wurden die Fehler bereits an Google gemeldet. Eine der Lücken hat das Unternehmen schon gepatcht.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
