Neue Sicherheitslücke im Schlüsselspeicher von Android entdeckt

Sie betrifft Android 4.3 und früher. Google ist das Problem schon seit September 2013 bekannt. Ein Patch liegt allerdings nur für Android 4.4 vor. Ein Angreifer könnte sich Zugang zum Schlüsselspeicher verschaffen und beispielsweise den Sperrcode auslesen.

Mitarbeiter von IBM haben eine neue Sicherheitslücke in Android entdeckt. Sie steckt im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit Android 4.3 und früher. Ein Patch liegt IBM zufolge bisher nur für Android 4.4 KitKat vor.

(Bild: ZDNet.com)

Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, sind seine Mitarbeiter und er vor neun Monaten auf die Anfälligkeit gestoßen. Das Android Security Team sei am 9. September 2013 informiert worden und habe den Fehler noch am selben Tag bestätigt. Ein Fix liege seit dem 11. November vor.

„Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten“, schreibt Hay in einem Blogeintrag. Allerdings läuft KitKat laut den aktuellen Zahlen von Google nur auf rund 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf mehr als 80 Prozent aller Smartphones und Tablets mit Googles Mobil-OS weiterhin kompromittiert werden kann.

Den Forschern zufolge kann die Schwachstelle mithilfe einer schädlichen App ausgenutzt werden. Sie muss allerdings Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Der KeyStore-Dienst starte allerdings automatisch neu, sobald er beendet wurde, heißt es weiter in dem Blogeintrag. „Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.“

Durch die Lücke könnte ein Angreifer Zugriff auf gespeicherte Schlüssel erhalten und auch das Gerätepasswort entwenden. Zudem ist es möglich, entschlüsselte Master-Schlüssel, Daten und hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Gleiches ist auch mit dem Flash-Speicher möglich, was bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.

Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher zur Verfügung stellen wird, geht aus dem Blogeintrag nicht hervor. Auch wenn die Verbreitung von KitKat und damit der einzigen sicheren Android-Version weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Schwachstelle veröffentlicht haben, angreifbar.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Google, IBM, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

17 Kommentare zu Neue Sicherheitslücke im Schlüsselspeicher von Android entdeckt

Kommentar hinzufügen
  • Am 25. Juni 2014 um 9:15 von Und ...

    … täglich grüßt das Murmeltier: erneut eine massive Android Sicherheitslücke.

    Und wieder >80%: „Der Schlüsselspeicher kann also auf mehr als 80 Prozent aller Smartphones und Tablets mit Googles Mobil-OS weiterhin kompromittiert werden kann.“

    Und, jede Wette, ein Fix für Android 4.3 und älter wird es sehr wahrscheinlich nie (!) geben.

    Da ist die Aussage, man habe „angesichts der Android-Fragmentierung ein wenig“ (seit Sept. 2013!) warten wollen, wohl recht zynisch – wird es eben für ältere Androiden wahrscheinlich nie ein Fix geben.

    Wie sagte neulich jemand: „It’s Google, we care a shit.“ ;-)

  • Am 25. Juni 2014 um 10:23 von punisher

    Nicht besser als Kernelbugs ;)

    “ Den Forschern zufolge kann die Schwachstelle mithilfe einer schädlichen App ausgenutzt werden. Sie muss allerdings Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen.“

    Also muss man mal wieder eine schädliche app installieren….Das Risiko geht gegen Null.

    • Am 25. Juni 2014 um 11:07 von Verstehe...

      Und deswegen hat man die Information auch seit Sept 2013, bald ein Jahr!, zurückgehalten, bis zumindest die 4.4er gefixed werden konnten? Weil das Risiko gegrn ‚Null‘ geht? Kaum glaubwürdig, oder?

      Das mit dem ‚ich muss selber installieren‘, ist doch eine Schönfärberei. Das Ding wird Dir Huckepack aus einem alternativen App Store untergejubelt, und Du Denkst, Du hast nix Böses installiert – und hast irgendwann das böse Erwachen. Und komm jetzt nicht mit „Was sucht man auch auf alternativen App Stores!“ It’s Android, schon vergessen? Freuheit des Nutzers, und so … wenn er die Freiheit nutzt, sollte er sich nix Schlimmes einfangen dürfen. Dass das doch geht, liegt am verkorksten Sicherheits- und Rechtesystem von Android. Da gibt es keinen Zweifel. Aber: „it’s Google, we care a shit!“ Google ist das egal, solange ungestört Nutzerddaten abgegriffen werden können.

      • Am 25. Juni 2014 um 12:10 von punisher

        Ach so, Android MUSS also so sicher konzipiert sein, dass ich überall alles installieren darf, egal woher. In was für einer Welt lebst du? Die einen müssen nix, die anderen müssen Alles…

        In einem alternativen app store wie Amazon kannst du alles installieren, ohne Probleme. Die anderen bieten alle gecrackte apps an, wer da Sachen installiert hat es eh nicht anders verdient.

        • Am 25. Juni 2014 um 15:56 von Alles klar

          Google ist immer fein raus, weil sie ja nicht für das Sicherheitskonzept von Android verantwortlich sind?

          Und der User ist immer selber schuld, zu doof, blöd, unwissend – hätte er mal Google/Android nicht vertraut?

          So kann man das alles auch weichzeichnen: alles nicht so schlimm, der User ist zu blöd. ;-)

          Allerdings: wer Google traut, der hat ein ernstes Problem. Grundsätzlich. ;-)

          • Am 25. Juni 2014 um 18:16 von punisher

            Wo habe ich das geschrieben, das du mit da unterstellst? Genau, nirgends! Klar ist Google für die Sicherheit verantwortlich, aber wenn der User die Sicherheitsmechanismen umgeht und auch noch apps vpn fragwürdigen Quellen installieren, dann ist weder Google noch Hersteller dafür verantwortlich!
            Das gilt für Android, ios , WP ,Tizen und wie sie alle heißen.
            Aber dass du das so siehst, ist klar. Verblendeter

  • Am 25. Juni 2014 um 12:05 von Judas Ischias

    Für den Namenlosen. Natürlich muss der Nutzer die App selbst installieren!
    Und der Nutzer hat die Freiheit und Wahl in welchem App-Shop er sich die App lädt und welche App er sich lädt! Es wird kein Mensch, auch nicht bei Google, dazu gezwungen diese Sachen zu tun!
    Lass dir doch einfach mal erklären was es alles braucht um die schädliche App zu installieren!
    Hauptsache gegen Google stänkern, wird für dich erst dadurch der Tag schön?
    Warum schaust Du nicht mal bei golem.de vorbei und stänkerst da? Da stand gestern nämlich ein Artikel über einen Staatstrojaner, der auch auf iOS eingesetzt wird.
    Da müssen ähnlich viele Dinge zusammenkommen um sich auf dem Gerät einzunisten! Aber da geht es ja um Apple und deswegen wird sich da nicht negativ geäußert.
    Und wenn doch, dann haben garantiert die Benutzer schuld und nicht das System der Firma Apple.

    • Am 25. Juni 2014 um 15:50 von Ja, klar - schönfärben

      Der Staatstrojaner geht eben nur mit Jailbreak. Diese Lücke betrifft jeden Androiden vor 4.4.!

      Für Dich: iOS – kein Jailbreak, kein Problem. Bei Android: Probleme auch ohne Jailbreak, für fast 90% der Geräte – und das ist die mind. sechste massive Lücke seit Januar, die zwischen 50% und fast alle Androiden betrifft.

      Bekannt seit Sept 2013, fixed für 10% der Androiden – der Rest ist Google E-G-A-L.

      Und was habt ihr zwei doch über Apple gelästert, weil das Fix für >90% der iOS Geräte vier Wochen gedauert hat? Und nun? Bei Android sind 9 Monate ‚krin Problem‘, nicht schlimm, egal – obwohl nur nicht mal 10% gefixed wurden, und der Rest der Android Anwender im Stich gelassen wird.

      DAS nenne ich mit gespaltener Zunge sprechen. ;-)

      • Am 25. Juni 2014 um 22:49 von Judas Ischias

        Wann und wo habe ich denn über Apple gelästert, weil ein Fix 4 Wochen gedauert hat?
        Und wenn man ein iPhone jailbreaken will, dann braucht man doch Sicherheitslücken.
        Also gibt es die auch bei Apple!

        • Am 26. Juni 2014 um 8:30 von punisher

          Das wird jetzt überlesen, wie jedes mal wenn das kommt ;)

  • Am 25. Juni 2014 um 12:47 von kphone

    Wenn man mit äpfel vergleicht ist das nix. Natürlich ist es dämlich viel geld zuzahlen für etwas was schlechter und anfälliger als bei andoid

  • Am 26. Juni 2014 um 0:29 von C

    Google benötigt >1 Jahr für einen Patch….
    Damit ist Google in guter Gesellschaft – mit MS, Apple & Co.
    Der einzig Dumme ist der Anwender. Zeit zum Nachdenken und Umschwenken.

    • Am 26. Juni 2014 um 6:33 von AnTec

      Ja, und wohin?

      • Am 26. Juni 2014 um 12:37 von Judas Ischias

        Das ist eine sehr gute Frage. Denn die Firma muss erst noch gegründet werden.

  • Am 26. Juni 2014 um 14:23 von hamster

    noname-apfel fügst du hier immer 0815-standardtexte ein, oder tippst du das jedes mal neu rein? :D
    suchst du das inet nach google, samsung und android ab, um dann dein kindliches bashing loszuwerden? :D

    • Am 27. Juni 2014 um 10:35 von Warum?

      ZDNet reicht – Samsung und Google disqualifizieren sich durch ihre Unfähigkeit ja selber. ;-)

      • Am 28. Juni 2014 um 10:09 von punisher

        Man kann ja nicht überall ohne Account und immer unter anderem ‚Namen‘ schreiben, deswegen nur zdnet ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *