Mitarbeiter von IBM haben eine neue Sicherheitslücke in Android entdeckt. Sie steckt im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit Android 4.3 und früher. Ein Patch liegt IBM zufolge bisher nur für Android 4.4 KitKat vor.
Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, sind seine Mitarbeiter und er vor neun Monaten auf die Anfälligkeit gestoßen. Das Android Security Team sei am 9. September 2013 informiert worden und habe den Fehler noch am selben Tag bestätigt. Ein Fix liege seit dem 11. November vor.
„Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten“, schreibt Hay in einem Blogeintrag. Allerdings läuft KitKat laut den aktuellen Zahlen von Google nur auf rund 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf mehr als 80 Prozent aller Smartphones und Tablets mit Googles Mobil-OS weiterhin kompromittiert werden kann.
Den Forschern zufolge kann die Schwachstelle mithilfe einer schädlichen App ausgenutzt werden. Sie muss allerdings Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) umgehen. Der KeyStore-Dienst starte allerdings automatisch neu, sobald er beendet wurde, heißt es weiter in dem Blogeintrag. „Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.“
Durch die Lücke könnte ein Angreifer Zugriff auf gespeicherte Schlüssel erhalten und auch das Gerätepasswort entwenden. Zudem ist es möglich, entschlüsselte Master-Schlüssel, Daten und hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Gleiches ist auch mit dem Flash-Speicher möglich, was bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden kann.
Ob und wann Google ein Sicherheitsupdate für Android 4.3 und früher zur Verfügung stellen wird, geht aus dem Blogeintrag nicht hervor. Auch wenn die Verbreitung von KitKat und damit der einzigen sicheren Android-Version weiter zunimmt, ist die Mehrheit der Nutzer nun, da die IBM-Forscher Details zu der Schwachstelle veröffentlicht haben, angreifbar.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
