IBM-Mitarbeiter haben erneut eine Sicherheitslücke in Android entdeckt. Sie befindet sich im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit der Android-Version 4.3 und früher. Ein Patch liegt laut IBM allerdings bislang nur für Android 4.4 KitKat vor.
Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, haben seine Mitarbeiter und er die Schwachstelle vor neun Monaten entdeckt. So sei das Android Security Team bereits am 9. September 2013 über die Anfälligkeit informiert worden und habe den Fehler noch am selben Tag behoben. Ein Fix existiere seit dem 11. November.
“Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten”, schreibt Hay in einem Blog. Allerdings läuft KitKat den aktuellen Zahlen von Google zufolge lediglich auf etwa 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf über 80 Prozent aller Smartphones und Tablets, die mit Googles Mobil-OS laufen, noch immer kompromittiert werden.
Den Forschern zufolge kann die Anfälligkeit mittels einer bösartigen App ausgenutzt werden. Dafür muss sie jedoch Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Allerdings starte der KeyStore-Dienst automatisch neu, sobald er beendet wurde, heißt es in dem Blogeintrag weiter. “Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.”
Durch die Sicherheitslücke könnte ein Angreifer Zugang zu gespeicherten Schlüsseln erhalten und auch das Gerätepasswort abgreifen. Außerdem ist es möglich, entschlüsselte Master-Schlüssel und Daten sowie hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Das funktioniert ebenso mit dem Flash-Speicher, was wiederum bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.
Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher bereitstellen wird, geht aus dem Blog nicht hervor. Auch wenn die Verbreitung von KitKat, der derzeit einzigen sicheren Android-Version, weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Lücke veröffentlicht haben, weiterhin angreifbar.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.