Android-Kernel weist angeblich kritische Sicherheitslöcher auf

Der Sicherheitsdienstleister Coverity hat bei einer Analyse des Android-Kernels eines HTC Droid Incredible mit Android 2.1 (Eclair) nach eigenen Angaben gravierende Schwachstellen in Googles Mobilbetriebssystem entdeckt. 88 der insgesamt 359 Fehler stuft das Unternehmen in seinem Bericht als „hochriskant“ ein. Dazu zählt es Speicherverletzungen oder -Lecks sowie nicht initialisierte Variablen.

Im Durchschnitt weisen 1000 Codezeilen des auf Linux basierenden Android-Kernels Coverity zufolge 0,47 Fehler auf. Betrachtet man nur die Android-spezifischen Abschnitte des Kernel steigt der Wert auf 0,78 Fehler pro 1000 Codezeilen. Damit liegt er aber immer noch unter dem branchenweiten Durchschnittswert von 1 Fehler pro 1000 Zeilen Code.

Einzelheiten zu den entdeckten Bugs will Coverity erst in rund 60 Tagen veröffentlichen. Bis dahin haben das Android Security Team, OEMs und Sicherheitsforscher Zeit, die Ergebnisse des Reports zu prüfen, eventuell Proof-of-Concept-Exploits zu entwickeln und Sicherheitslücken zu schließen.

Das HTC Droid Incredible hat Coverity nach eigener Aussage ausgewählt, weil ein Mitarbeiter solch ein Gerät besitzt und wissen wollte, was es für Fehler enthält. Für die Analyse setzte das Unternehmen seine automatisierten Code-Test-Tools ein.

Da sich das Betriebssystem je nach OEM-Hersteller und Gerät meist nur durch Hardwaretreiber unterscheidet, dürften sich die Ergebnisse des Coverity-Reports auch auf andere Android-Geräte übertragen lassen.

Hersteller wie Symantec oder Juniper Networks bieten schon länger Sicherheitslösungen für Android-Smartphones an. Ob diese aufgrund der geringen Zahl an Malware aber tatsächlich benötigt werden, ist eher fraglich.