Sicherheitsforscher finden erneut Lücken in Android

Die Sicherheitsforscher Jon Oberheide und Zach Lanier haben erneut Schwachstellen in Googles Mobilbetriebssystem gefunden. Sie hatten im Februar eine kritische Lücke im Android Market aufgedeckt. In einem Blogeintrag schreibt Oberheide, Chief Technology Officer von Duo Security, er habe die Sicherheitslücken schon an Google gemeldet. Ein Patch stehe aber noch nicht zur Verfügung.

Der erste Fehler betrifft demnach alle Android-Geräte, unabhängig von der Betriebssystemversion. Er ermöglicht die Installation „beliebiger Anwendungen mit beliebigen Rechten“, ohne dass ein Nutzer vorher um Erlaubnis gefragt wird. Angreifer können sich so Zugang zu Nutzerdaten wie Anruflisten, Textnachrichten, Mediendateien oder den Browserverlauf verschaffen.

Die andere Lücke steckt nur in einigen Android-Geräten, darunter das Samsung Nexus S. Sie führt dazu, dass Hacker die vollständige Kontrolle über das Smartphone übernehmen können. Zuvor muss ein Nutzer lediglich dazu verleitet werden, eine manipulierte Anwendung zu installieren.

Details zu beiden Sicherheitslücken will Oberheide zusammen mit seinem Kollegen Zach Lanier auf der Konferenz Source vorstellen, die im November in Barcelona stattfindet. Exploits für die Anfälligkeiten zeigen sie in einem Video.

Im November 2010 hatten Oberheide und Lanier eine Anwendung im Android Market veröffentlicht, um zu beweisen, dass Entwickler zusätzliche Apps auf Android-Handys einschleusen können, ohne dass der Nutzer etwas davon merkt. „Seit dem Start des Android Market vor einem Jahr war es möglich, aus der Ferne Apps mit beliebigen Rechten auf ein Mobiltelefon aufzuspielen“, sagte Oberheide im März. Google musste schließlich mehr als 50 Anwendungen aus seinem Online-Marktplatz verbannen und sie ferngesteuert von rund 260.000 Android-Handys löschen, deren Nutzer die Apps heruntergeladen hatten.