Categories: BetriebssystemMobileMobile OSSicherheitWorkspace

Fehler in Android 4.3 Jelly Bean macht Gerätesperre unwirksam

Fehler in Android 4.3 Jelly Bean macht Gerätesperre unwirksamFehler in Android 4.3 Jelly Bean macht Gerätesperre unwirksam

Forscher des deutschen Sicherheitsanbieters Curesec haben eine Schwachstelle in Android 4.3 Jelly Bean entdeckt, die die Gerätesperre unwirksam macht. Wie Threatpost berichtet, können speziell präparierte Apps genutzt werden, um die Sicherheitssperren zu deaktivieren. Inzwischen hat Curesec eine Beispiel-App sowie deren Quellcode veröffentlicht.

Android Jelly Bean

„Die Anfälligkeit erlaubt es jeder bösartigen App zu jeder Zeit, alle von einem Nutzer aktivierten Sperren zu entfernen“, heißt es im Curesec-Blog. „Curesec hat die Schwachstelle an das Google Android Security Team gemeldet, das nicht auf dieses Problem reagiert hat.“

Curesec informierte Google nach eigenen Angaben am 11. Oktober über die Sicherheitslücke. Am 12. Oktober habe der Internetkonzern mit einer E-Mail den Erhalt bestätigt. Auf drei weitere Nachfragen zu einer Rückmeldung habe man keine Antwort erhalten.

Der Fehler selbst stecke in der Funktion, die es dem Nutzer erlaube, unterschiedliche Mechanismen wie PIN, Passwort, Gesichtserkennung oder Gesten für die Gerätesperre festzulegen, heißt es weiter in dem Blogeintrag. „Bevor ein Nutzer diese Einstellungen ändern kann, fragt das Gerät nach einer Bestätigung. Wenn ein Nutzer die PIN ändern oder entfernen möchte, muss er zuerst die vorhandene PIN eingeben.“ Durch den Fehler sei es einer App möglich, diese Abfrage zu unterbinden und eine Änderung wie das Deaktivieren der Gerätesperre unbemerkt vorzunehmen.

Ein Google-Sprecher sagte Threatpost, dass das Problem in Android 4.4 KitKat behoben sei. Zu einem Update für den Vorgänger 4.3 Jelly Bean machte er jedoch keine Angaben.

Laut Googles eigenen Zahlen läuft KitKat erst auf 1,1 Prozent aller Android-Geräte. Den größten Anteil hat Android Jelly Bean (4.1x, 4.2x und 4.3) mit 54,5 Prozent. Sollte Google doch noch einen Patch für Jelly Bean bereitstellen, ist allerdings nicht sichergestellt, dass alle Geräte den Fix auch erhalten. Grund dafür ist, dass die Geräterhersteller und nicht Google für die Verteilung von Aktualisierungen verantwortlich sind.

Marc Lux, Sicherheitsforscher bei Curesec, sagte Threatpost, ihm sei bisher kein Workaround für die Schwachstelle bekannt. Sie lasse sich aber auch nur durch eine manipulierte App ausnutzen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Bildergalerie

Android 4.3: Installation und neue Features

zur Bildergalerie
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: AndroidBetriebssystemJelly Bean
11 Jahren ago

Recent Posts

Mehrheit für Social-Media-Regulierung

Umfrage: Weltweit wünschen die meisten Menschen eine Einschränkung von problematischen Inhalten in den sozialen Medien.

2 Stunden ago

Hacker streuen über 330 bösartige Apps in Google-Play-Kampagnen

Eine aktuelle Analyse der Bitdefender Labs zeigt, dass es bis jetzt weltweit zu rund 60…

15 Stunden ago

Studie: Anstieg der APT-Angriffe auf Unternehmen

Insgesamt ist jedes vierte Unternehmen im Jahr 2024 das Opfer einer APT-Gruppe. Bei den schwerwiegenden…

22 Stunden ago

Update für Windows 11 löscht versehentlich Microsoft Copilot

Betroffen sind einige Nutzer von Windows 11. Die März-Patches deinstallieren unter Umständen die Copilot-App. Nicht…

1 Tag ago

Entschlüsselungs-Tool für Akira-Ransomware entwickelt

Es funktioniert ausschließlich mit der Linux-Variante von Akira. Das Tool knackt die Verschlüsselung per Brute…

2 Tagen ago

Frauen in der IT – vielerorts weiter Fehlanzeige

Laut Bitkom-Umfrage meinen noch immer 39 Prozent der Betriebe, Männer seien für Digitalberufe besser geeignet.

2 Tagen ago