IBM-Mitarbeiter haben erneut eine Sicherheitslücke in Android entdeckt. Sie befindet sich im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit der Android-Version 4.3 und früher. Ein Patch liegt laut IBM allerdings bislang nur für Android 4.4 KitKat vor.
Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, haben seine Mitarbeiter und er die Schwachstelle vor neun Monaten entdeckt. So sei das Android Security Team bereits am 9. September 2013 über die Anfälligkeit informiert worden und habe den Fehler noch am selben Tag behoben. Ein Fix existiere seit dem 11. November.
“Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten”, schreibt Hay in einem Blog. Allerdings läuft KitKat den aktuellen Zahlen von Google zufolge lediglich auf etwa 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf über 80 Prozent aller Smartphones und Tablets, die mit Googles Mobil-OS laufen, noch immer kompromittiert werden.
Den Forschern zufolge kann die Anfälligkeit mittels einer bösartigen App ausgenutzt werden. Dafür muss sie jedoch Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Allerdings starte der KeyStore-Dienst automatisch neu, sobald er beendet wurde, heißt es in dem Blogeintrag weiter. “Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.”
Durch die Sicherheitslücke könnte ein Angreifer Zugang zu gespeicherten Schlüsseln erhalten und auch das Gerätepasswort abgreifen. Außerdem ist es möglich, entschlüsselte Master-Schlüssel und Daten sowie hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Das funktioniert ebenso mit dem Flash-Speicher, was wiederum bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.
Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher bereitstellen wird, geht aus dem Blog nicht hervor. Auch wenn die Verbreitung von KitKat, der derzeit einzigen sicheren Android-Version, weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Lücke veröffentlicht haben, weiterhin angreifbar.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.