Sicherheitsforscher von IBM haben eine als kritisch eingestufte Schwachstelle in einem Analytics-Paket von MIUI gefunden, der von Xiaomi verwendeten Version von Googles Mobilbetriebssystem Android. Mehrere vorinstallierte Apps, die das Paket enthalten, sind anfällig für Man-in-the-Middle-Angriffe. Sie erlauben das Einschleusen und Ausführen von Schadcode auf Systemebene. Ein Angreifer könnte also aus der Ferne Schadsoftware installieren.
Entdeckt wurde die Anfälligkeit in der MIUI-Version 6.1.8. Zu den anfälligen Apps zählt unter anderem der ab Werk vorinstallierte Browser. „Wenn eine anfällige App als System-Nutzer ausgeführt wird, würde ein großer Teil des Nutzerbereichs von Android kompromittiert“, schreiben die Forscher. Mindestens eine App erfülle dieses Kriterium und habe unter Laborbedingungen eine Remotecodeausführung ermöglicht.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Schwachstelle an sich steckt in der Update-Funktion. Sie aktualisiert das Analytics-Paket der fraglichen Apps über eine unsichere Verbindung wie HTTP. Bei einem Man-in-the-Middle-Angriff kann die URL, über die das eigentliche Update heruntergeladen wird, verändert werden, um ein schädliches Installationspaket (APK) einzuschleusen. Da keine kryptografische Echtheitsprüfung der Installationsdatei durchgeführt wird, wird im Rahmen des Updates das Analytics-Paket durch das schädliche Paket ersetzt.
Xiaomi hat die Sicherheitslücke inzwischen geschlossen. Die IBM-Forscher loben in dem Zusammenhang die Zusammenarbeit mit dem chinesischen Unternehmen und seine schnelle Reaktion. Das fehlerbereinigte Update auf die MIUI-Version 7.2 steht bereits zum Download bereit.
Die Forscher raten Entwicklern zudem, ausführbaren Code nur über eine verifizierte und verschlüsselte Verbindung zu übertragen. Darüber hinaus sei es erforderlich, den Code selbst zu signieren und dessen Echtheit vor der Ausführung durch die Host-Anwendung überprüfen zu lassen.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…