Forscher der Indiana University haben in Zusammenarbeit mit Microsoft eine neue Klasse von Android-Sicherheitslücken entdeckt. Die „Pileup“ – was für „Privilege Escalation through updating“ steht – genannten Bugs stecken einem Whitepaper (PDF) zufolge in allen Versionen von Googles Mobilbetriebssystem und betreffen mehr als eine Milliarde Smartphones und Tablets weltweit.
Die Fehler erlauben einer schädlichen App eine unautorisierte Ausweitung von Nutzerrechten, sobald Android aktualisiert wird. Der Besitzer des Geräts merkt davon nichts.
„Alle paar Monate wird ein Update veröffentlicht, das tausende Dateien eines laufenden Systems austauscht oder hinzufügt“, schreiben die Forscher. „Jede neue App, die installiert wird, muss genau konfiguriert werden, um ihre Attribute in der eigenen Sandbox und ihre Systemrechte festzulegen, ohne dass versehentlich vorhandene Apps und die von ihnen gespeicherten Nutzerdaten beschädigt werden. Das macht die Programmlogik für die Installation solcher mobiler Updates kompliziert – und damit anfällig für Sicherheitsfehler.“
Durch eine App, die auf einer älteren Android-Version läuft, kann sich ein Hacker den Forschern zufolge sorgfältig ausgewählte Rechte oder Attribute sichern, die allerdings nur unter einer höheren Android-Version zur Verfügung stehen. Wird das Betriebssystem auf diese höhere Version aktualisiert, erhält die App die neuen Berechtigungen automatisch im Hintergrund, ohne dass der Nutzer darüber informiert wird.
Die Forscher haben nach eigenen Angaben sechs verschiedene Pileup-Anfälligkeiten gefunden, die alle im Android Package Management Service (PMS) stecken. Sie seien in allen Versionen des Android Open Source Project (AOSP) enthalten sowie in mehr als 3500 von Handyherstellern und Mobilfunkanbietern speziell angepassten Android-Versionen.
Darüber hinaus haben die Forscher einen SecUP genannten Scanner vorgestellt, der schädliche Apps finden soll, die sich bereits auf einem Gerät befinden und auf ein Update warten, um ihre Rechte auszuweiten. Der Scanner prüfe den Quellcode des Package Management System von unterschiedlichen Android-Versionen, um mögliche Verletzungen von Sicherheitsbeschränkungen aufzudecken.
Laut den Forschern wurden die Fehler bereits an Google gemeldet. Eine der Lücken hat das Unternehmen schon gepatcht.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
